VPN en dan een RDP server kiezen - Serversoftware en clouddiensten

vrijdag 16 maart 2007 15:20

Acties:

Verwijderd

Topicstarter

beste tweakers,

sindskort doe ik het systeembeheer bij een middengroot bedrijf met 3 servers. een externe medewerker heeft de mogelijkheid in te bellen middels VPN. dit gaat prima maar deze gebruiker wil ik op slechts 1 server laten werken. als de gebruiker nu ingebeld is kan deze (logischerwijs) op alle computers en of servers werken. hoe kan ik de gebruiker nu naar 1 server "sturen" en op de andere servers of computers niet? remote desktop moet voor administrators wel naar alle servers kunnen gaan. moet ik dit middels een policy regelen? graag een reactie want ik kom er even niet meer uit!

gr Bert

vrijdag 16 maart 2007 17:15

Acties:

Verwijderd

Misschien een local account aanmaken op de server waar hij wel op mag?

zaterdag 17 maart 2007 14:44

Acties:

alt-92

ye olde farte

als de gebruiker nu ingebeld is kan deze (logischerwijs) op alle computers en of servers werken.

Hoezo is dat logisch, bert?

offtopic:
Bel es ff

je oud-collega

[ Voor 19% gewijzigd door alt-92 op 17-03-2007 14:55 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 18 maart 2007 23:19

Acties:

sanfranjake

Computers can do that?

Hoe wordt die vpnverbinding opgezet? Misschien kan je een apart vlan ofzo (quarantaine) creeeren en dan de users alleen een route geven naar de servers waar deze naartoe mag?
Mijn vpnusers krijgen bijvoorbeeld niks meer en niks minder dan TCP poort 3389 naar onze loadbalancer.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 18 maart 2007 23:24

Acties:

alt-92

ye olde farte

Ik gok zomaar dat hier geen loadbalancer of andere luxe vlan hardware staat

En de reden dat de user in kwestie nu bij elke server kan is denk ik ook wel duidelijk, teveel rechten gegeven.

Wat Bert nog wel kan doen is een aparte security group aanmaken (een rol voor mijn part) die authorisatie genoeg heeft om alleen op die server in te kunnen loggen.

Die kun je dan aan die bewuste server koppelen, moet er nog iemand bij geef je 'm ook die "rol".

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 19 maart 2007 10:07

Acties:

Rickstah

Ik denk dat Bert bedoelt dat wanneer de gebruiker is ingelogd, hij alles in het netwerk kan "zien". Niet zo zeer kan inloggen, maar wel verbinding kan leggen met andere servers.

Ikzelf zit met hetzelfde. Dus stel je hebt 5 servers in je domein; van 10.10.1.2 tot 10.10.1.7 en je wilt dat de gebruiker via VPN alleen naar 10.10.1.2 toekan, en niet naar de andere?

Of begrijp ik de vraag verkeerd?

maandag 19 maart 2007 10:24

Acties:

Equator

Crew Council

#whisky #barista

Een gewone domain user mag niet zomaar inloggen via rdp op een server. (tenzij de gebruikers veel te veel rechten hebben gekregen)
Maak voor die ene server een group aan waarin je de telewerkers plaatst. Deze group geef je de rechten om via rdp aan te melden op die ene server.

maandag 19 maart 2007 16:13

Acties:

Verwijderd

Topicstarter

Conan schreef op maandag 19 maart 2007 @ 10:07:
Ik denk dat Bert bedoelt dat wanneer de gebruiker is ingelogd, hij alles in het netwerk kan "zien". Niet zo zeer kan inloggen, maar wel verbinding kan leggen met andere servers.

Ikzelf zit met hetzelfde. Dus stel je hebt 5 servers in je domein; van 10.10.1.2 tot 10.10.1.7 en je wilt dat de gebruiker via VPN alleen naar 10.10.1.2 toekan, en niet naar de andere?

Of begrijp ik de vraag verkeerd?

Conan: je begrijpt de vraag precies goed! ik ga eind deze week weer naar de betreffende klant toe en zal dan een security group proberen toe te kennen aan de goede server zoals Alt-92 het schetste...

alt-92 alvast bedankt! gr van je ex collega

woensdag 21 maart 2007 14:39

Acties:

Verwijderd

Topicstarter

na het aanmaken van een securitygroup die vervolgens is toegewezen aan de juiste server werkt alles zoals het moet werken!

Alt-92: je verdient een standbeeld, ook al heb je vermoedelijk meer aan een beetje geld..

gr Bert

woensdag 21 maart 2007 14:47

Acties:

alt-92

ye olde farte

Aardig, maarre...
Steek dat geld maar in een leuke VPN oplossing met vlans zodat je 'm ook echt alleen maar naar die server kan laten connecten

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 21 maart 2007 15:17

Acties:

ErikCornelissen

Wat je eventueel nog zou kunnen doen is de servers uitrusten met SecureRDP van 2X. Is een gratis programma waarmee je remote desktop sessies veiliger kan maken, maar eventueel ook gebruikers kan excluden op basis van computernaam, mac adres. Verder kan je dan tijdrestricties e.d. toevoegen.

Al met al een top programma om het veiliger te maken.

vrijdag 23 maart 2007 11:33

Acties:

Verwijderd

Is zoiets niet het gemakkelijkst te regelen met NAT? Op die manier kun je dan alle verkeer via de poort die die specifieke gebruiker gebruikt laten automatisch doorverwijzen naar die specifieke gebruiker.
Als hij dan een vpn verbinding maakt stuurt de firewall hem door naar die server en is het probleem opgelost zou ik denken...

vrijdag 23 maart 2007 12:13

Acties:

L0g0ff

omg

Op een cisco pix kun je gewoon ACL's (access control list's) opgeven. Hierin kun je zetten met welke server hij wel of geen verbinding mag maken. Maar als ie eenmaal op de server server zit dan kan die uiteraard altijd vanuit daar verbinding met de andere servers maken.

Verder kun je een gebruiker aanmaken op die server en hem via policies network browsing e.d. afschermen. Wat is de reden eigenlijk dat hij op die server moet zijn?

Blog.wapnet.nl KompassOS.nl

vrijdag 23 maart 2007 16:06

Acties:

alt-92

ye olde farte

OhMyGod schreef op vrijdag 23 maart 2007 @ 12:13:
Maar als ie eenmaal op de server server zit dan kan die uiteraard altijd vanuit daar verbinding met de andere servers maken.

Dat vang je dus af met RoleBased Access (zoals ie nu heeft gedaan).

Wat is de reden eigenlijk dat hij op die server moet zijn?

Is dat van belang dan?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 23 maart 2007 16:34

Acties:

L0g0ff

omg

alt-92 schreef op vrijdag 23 maart 2007 @ 16:06:
Is dat van belang dan?

Uiteraard... Moet zo iemand alleen maar bij 1 applicatie kunnen of moet hij sysadmin zijn van heel het systeem.

Als het bijvoorbeeld 1 applicatie is dan kun je alles compleet afschermen via een policy en ntfs en klaar ben je.

Blog.wapnet.nl KompassOS.nl

vrijdag 23 maart 2007 16:48

Acties:

alt-92

ye olde farte

OhMyGod schreef op vrijdag 23 maart 2007 @ 16:34:
Als het bijvoorbeeld 1 applicatie is dan kun je alles compleet afschermen via een policy en ntfs en klaar ben je.

dat is toch al wat er nu gebeurt?

_{ik snap je wel, alleen is dat hier niet zo'n groot probleem. De useraccount heeft geen admin rechten en kan daardoor ook geen beheerdingen doen die hij niet zou mogen}

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 24 maart 2007 09:55

Acties:

hstuivenberg

Verwijderd schreef op vrijdag 23 maart 2007 @ 11:33:
Is zoiets niet het gemakkelijkst te regelen met NAT? Op die manier kun je dan alle verkeer via de poort die die specifieke gebruiker gebruikt laten automatisch doorverwijzen naar die specifieke gebruiker.
Als hij dan een vpn verbinding maakt stuurt de firewall hem door naar die server en is het probleem opgelost zou ik denken...

Als je het bovenstaande regelt, en geen rechten afneemt zoals nu gedaan is, dan kan hij toch vanaf de server waar hij met NAT op terecht komt een nieuwe RDP opzetten naar elke andere server?

Je zult via rechten/groups hem gewoon alleen rechten moeten geven op de server waar hij op moet. NAT is dan gewoon noodzakelijk om hem op de goede server te krijgen, maar kun je natuurlijk niet als security gebruiken.

zaterdag 24 maart 2007 11:09

Acties:

sanfranjake

Computers can do that?

Of je zorgt anders gewoon dat de user op die server waarnaar verbonden moet worden geen terminal server clients op kan starten?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters