Discussion:
Come proteggere al meglio una connessione RDP ??
(too old to reply)
Alberto Spelta
2006-03-31 09:41:19 UTC
Permalink
Salve a tutti !
Ho la necessità di fare lavorare da remoto alcuni utenti su un server w2k3
tramite RDP. Valutando le opzioni a disposizione inizialmente ho pensato ad
una soluzione di tipo vpn pptp client-to-lan ma adesso mi sto orientando
verso una soluzione che utilizzi ipsec.
L'idea era quella di impostare sul firewall il forward la porta rdp verso
il server w2k3 che sta nella dmz, e di proteggere la connessioni impostando
delle regole IPSec che consentano solo il traffico autorizzato. Questo mi
evita di avere un server di accesso remoto e di configurare lato client la
connessione remota alla vpn, quindi evito all'utente i due passaggi: 1°
connettere la vpn 2 ° connettere la sessione rdp. L'installazione
comporterebbe solo l'impostazione le regole ipsec su ogni client (o la
distribuzion attraverso Active Directory) e l'installazione del certificato
rilasciato dalla mia CA.

Quanto è sicura questa soluzione rispetto alla vpn pptp? Qualcuno con la
stessa esigenza ha risolto in qualche altro modo ? Come soluzione è
flessibile ? Ho letto di problemi riguardanti il NAT traversal con IPSec e
non vorrei trovarmi a metà dell'attività e poi scoprire che non posso fare
connettere alcuni client per problemi di NAT.

Grazie per l'attenzione
Alberto Spelta


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Giuseppe Marocchio
2006-04-03 14:52:32 UTC
Permalink
Post by Alberto Spelta
Quanto è sicura questa soluzione rispetto alla vpn pptp? Qualcuno con la
Sicuramente di più. e ad ogni modo pptp ha anche lui ogni tanto problemi con
il nat.
Post by Alberto Spelta
stessa esigenza ha risolto in qualche altro modo ? Come soluzione è
flessibile ? Ho letto di problemi riguardanti il NAT traversal con IPSec e
non vorrei trovarmi a metà dell'attività e poi scoprire che non posso fare
connettere alcuni client per problemi di NAT.
Ho implementato una cosa simile e ho utilizzato openvpn (come demone sul Fw) e
come client su 3 portatili win xp (previa installazione di openvpn e della
relativa Gui). la cosa funziona ed è anche abbastanza semplice lato utente,
cliccano sull'icona e entrano nella rete privata. Nulla di più facile.

Ecco se valuti l'utilizzo di openvpn ricordati che l'installazione sulle
macchine è un pelo più macchinosa di quella di pptp.

Ps: openvpn funziona anche su windows in modalità server.
Ciao.
--
Giuseppe `lan` Marocchio
Socio MetroOlografix
http://giuseppe-marocchio.com - Key on pgp.mit.edu ID B905E35B
a***@tiscali.it
2006-04-03 14:57:23 UTC
Permalink
Non ho capito bene la tua situazione ma ti rispondo per quanto riguarda
IPSEC con il NAT, il quale non funziona correttamente nel caso di
PAT/NAT di firewall (in particolare AH/ESP).
Per farlo funzionare dietro ad un PAT bisogna attivare il NAT-
Traversal con Transparent Tunneling.
Attivando il transparent tunneling e l'UDP encapsulation/NAT-T mode
sui firewall, il protocollo ESP viene incapsulato su pacchetti UDP,
consentendo di utilizzare i client IPSec dietro PAT (come indicato
sulla documentazione Cisco di seguito).

http://www.cisco.
com/en/US/products/sw/iosswrel/ps1839/products_feature_guide09186a0080110bca.
html#1039027






Hai voglia di fare un viaggio, ma non sai dove andare?
Scegli una delle nostre offerte HOTEL IN ITALIA E IN EUROPA da 50 €.
Prenota subito su Expedia.it e... buona vacanza
http://nc.tiscali.it/adclick/CID=0002bd64d255f32600000000/SITE=IT.TISCALI/AREA=MAIL.HOME/LANG=IT/AAMSZ=T800
Alessio L.R. Pennasilico
2006-04-04 20:56:28 UTC
Permalink
Post by Alberto Spelta
L'idea era quella di impostare sul firewall il forward la porta rdp verso
il server w2k3 che sta nella dmz, e di proteggere la connessioni impostando
delle regole IPSec che consentano solo il traffico autorizzato. Questo mi
evita di avere un server di accesso remoto e di configurare lato client la
connessione remota alla vpn, quindi evito all'utente i due passaggi: 1°
connettere la vpn 2 ° connettere la sessione rdp. L'installazione
comporterebbe solo l'impostazione le regole ipsec su ogni client (o la
distribuzion attraverso Active Directory) e l'installazione del certificato
rilasciato dalla mia CA.
in situazione analoghe preferisco adottare una politica diversa.
le porte "forwardate" verso l'interno (dmzz) sono esclusivamente per
servizi pubblicati a chiunque su Internet.
ogni altro servizio e' subordinato all'accesso in VPN.
tutti gli utenti "mobili"devono collegarsi in vpn e poi tramite
radius/access-list o altro viene definito a cosa possono collegarsi.

a seconda del tipo di utenza normalmente opto per openvpn, come gia'
consigliato, o per device che permettano di incapsulare ipsec almeno su
udp per evitare i problemi di nat.

un mayhem e la barba da fare
--
E non parlarmi di sentimenti di sabato mattina che mi viene da vomitare.
https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057
Mimmus
2006-04-08 09:01:45 UTC
Permalink
Salve,
ho gia' in piedi un paio di server IAS (Internet Authentication Server)
Microsoft per l'autenticazione 802.1x alla rete.
Mi piacerebbe sfruttarli anche per l'autenticazione degli utenti ad una VPN
Checkpoint.
Qualcuno lo ha gia' fatto?
Tratto IAS come server Radius 'normale'?
C'e' un modo di abilitare/disabilitare selettivamente un utente all'accesso
tramite VPN (possibilmente da riga di comando...)?

Grazie
Mimmo Viggiani (CS)
Michele
2006-04-04 11:44:18 UTC
Permalink
Post by Alberto Spelta
Salve a tutti !
Ho la necessità di fare lavorare da remoto alcuni utenti su un server w2k3
tramite RDP. Valutando le opzioni a disposizione inizialmente ho pensato ad
una soluzione di tipo vpn pptp client-to-lan ma adesso mi sto orientando
verso una soluzione che utilizzi ipsec.
[snip]
Post by Alberto Spelta
Quanto è sicura questa soluzione rispetto alla vpn pptp? Qualcuno con la
Dipende dal grado di sicurezza dell'algoritmo che decidi di
utilizzare. Guarda i documenti qua sotto sui problemi di MS pptp

http://www.schneier.com/paper-pptpv2.html
http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/pptp_mschapv2.pdf
Post by Alberto Spelta
stessa esigenza ha risolto in qualche altro modo ? Come soluzione è
flessibile ?
Mhh..forse la soluzione più semplice, standard, crossplatform è
openvpn: www.openvpn.org
Post by Alberto Spelta
Ho letto di problemi riguardanti il NAT traversal con IPSec e
non vorrei trovarmi a metà dell'attività e poi scoprire che non posso fare
connettere alcuni client per problemi di NAT.
Per quanto riguarda il NAT Traversal dovresti testarlo tra il win2k3 e
i client OS che pianifichi verranno utilizzati, ad esempio:

http://support.microsoft.com/default.aspx?scid=kb;en-us;885348


Michele
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Continue reading on narkive:
Loading...