Situatie
In het Lan staat:
- SBS 2003
- Document Management Server (DMS) (W2k3)
- RSA Ace authenticatie server
- 15 werkstations
Probleem
Nieuw te plaatsen Terminal Server(TS) 2008 beveiligd met RSA token authenticatie. Gebruikers kunnen op de TS alles wat ook lokaal op een werkstation kan (toegang tot SQL, DMS, Shares, Exchange, Etc).
Waar plaats ik deze binnen het netwerk?
Overwegingen
Plaatsing binnen een DMZ, waarbij voor elke functionaliteit binnen de firewall exception rules worden gecreerd.
Nadeel
Echter staan er na alle exceptions zoveel poorten open dat heel het principe van een DMZ weg valt. Ongeauthoriseerde toegang tot de TS betekend toegang tot alles.
---------------------------------
Plaatsing binnen het LAN
Nadeel
Veiligheidsrisico
---------------------------------
Eerst een VPN verbinding alvorens toegang tot de TS te verschaffen.
RSA 7.1 i.c.m. RADIUS authenticatie werkt alleen met niet-versleutelde wachtwoorden (PAP). Dit houdt in dat met de standaard instellingen om een PPTP verbinding op stellen in een Windows client, dat de "domme"gebruiker de authenticatie protocollen moet aanpassen.
Dit kan je afvangen met CMAK, helaas werkt de CMAK tool weer niet op x64 client platforms. Daarnaast geldt nog steeds, ongeauthoriseerde toegang, is toegang tot het hele netwerk.
Een IP-Sec verbinding opzetten levert slechte performance op i.c.m. RDP.
Nadeel
Gebruikersonvriendelijk
-----------------------------------------------
Citrix i.c.m. beveiligingscertificaten
Kosten te hoog i.v.m. gering aantal gebruikers.
Elke input is welkom
code:
1
2
3
4
5
6
7
| Internet
|
\ /
Firewall
|
\ /
Lan |
In het Lan staat:
- SBS 2003
- Document Management Server (DMS) (W2k3)
- RSA Ace authenticatie server
- 15 werkstations
Probleem
Nieuw te plaatsen Terminal Server(TS) 2008 beveiligd met RSA token authenticatie. Gebruikers kunnen op de TS alles wat ook lokaal op een werkstation kan (toegang tot SQL, DMS, Shares, Exchange, Etc).
Waar plaats ik deze binnen het netwerk?
Overwegingen
Plaatsing binnen een DMZ, waarbij voor elke functionaliteit binnen de firewall exception rules worden gecreerd.
Nadeel
Echter staan er na alle exceptions zoveel poorten open dat heel het principe van een DMZ weg valt. Ongeauthoriseerde toegang tot de TS betekend toegang tot alles.
---------------------------------
Plaatsing binnen het LAN
Nadeel
Veiligheidsrisico
---------------------------------
Eerst een VPN verbinding alvorens toegang tot de TS te verschaffen.
RSA 7.1 i.c.m. RADIUS authenticatie werkt alleen met niet-versleutelde wachtwoorden (PAP). Dit houdt in dat met de standaard instellingen om een PPTP verbinding op stellen in een Windows client, dat de "domme"gebruiker de authenticatie protocollen moet aanpassen.
Dit kan je afvangen met CMAK, helaas werkt de CMAK tool weer niet op x64 client platforms. Daarnaast geldt nog steeds, ongeauthoriseerde toegang, is toegang tot het hele netwerk.
Een IP-Sec verbinding opzetten levert slechte performance op i.c.m. RDP.
Nadeel
Gebruikersonvriendelijk
-----------------------------------------------
Citrix i.c.m. beveiligingscertificaten
Kosten te hoog i.v.m. gering aantal gebruikers.
Elke input is welkom
:strip_exif()/u/216514/sgisurf.gif?f=community)
:strip_icc():strip_exif()/u/10517/nwkoffie.jpg?f=community)