[Windows Server] Secure RDP / SSL / VPN. - Serversoftware en clouddiensten

woensdag 18 maart 2015 09:45

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Goedemorgen,

Wij hebben een aantal servers in het veld staan die wij monitoren en beheren. Wij willen voor de klanten iets meer doen voor een veiligere verbinding.
Nu gebruiken wij op een aantal servers andere poorten voor de RDP maar toch is het nog niet veilig genoeg. Om het nog iets veiliger te maken willen wij via een certificaat of VPN een RDP tot stand brengen. Maar wat is jullie ervaring hiermee?

Een paar korten vragen om informatie in te winnen.

- Wat doen jullie om het veiliger te maken als dat het is? Certificaat? VPN?
- Wat voor VPN is aan te raden in netwerken zonder hard/software firewall?
- 3rd party software voor VPN of niet?

Mijn voorkeur gaat uit naar een VPN configuratie gezien ik in mijn netwerken gebruik maak van hardware firewalls.

Wat wij voor de gebruikers zelf gebruiken om in het netwerk te komen is o.a.: Shrewsoft, werkt goed. Is het een aanrader om dit soort tools te gebruiken?

woensdag 18 maart 2015 11:30

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Het antwoord op je vragen is niet zomaar te geven, dat hangt sterk af van je eisen en wensen. Het hangt er dus heel erg vanaf wat jij een "veiligere" verbinding vind.

RDP over SSL/TLS is overigens sowieso aan te raden, maar dat garandeert bv nog niet of de clients voorzien zijn van een juiste virusscanner of qua patches up to date zijn (om maar iets te noemen). Er zijn VPN oplossingen die bv. eerst de client nog scannen en pas als de client voldoet aan een bepaalde baseline toegang verlenen.

De mogelijkheden zijn ook sterk afhankelijk van het gebruikte OS, noem dat dus ook vooral even.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 18 maart 2015 13:08

Acties:

0 Henk 'm!

Verwijderd

Wij gebruiken ipv VPN een Terminal Services Gateway server.

http://windows.microsoft....l-services-gateway-server

https://technet.microsoft...c731264%28v=ws.10%29.aspx

woensdag 18 maart 2015 18:27

Acties:

0 Henk 'm!

JeroenV_

Bij ons ook een Ts Gateway.
RDP naar een andere poort zetten is leuk, maar een open poort is zo gevonden.

vrijdag 20 maart 2015 11:34

Acties:

0 Henk 'm!

Rolfie

Verwijderd schreef op woensdag 18 maart 2015 @ 09:45:
Goedemorgen,

Wij hebben een aantal servers in het veld staan die wij monitoren en beheren. Wij willen voor de klanten iets meer doen voor een veiligere verbinding.
Nu gebruiken wij op een aantal servers andere poorten voor de RDP maar toch is het nog niet veilig genoeg.

Ik mag hopen dat ik dit verkeerd begrijp, en dat je niet RDP direct aan het Internet gehangen hebt al dan niet met een andere listen port.

Om het nog iets veiliger te maken willen wij via een certificaat of VPN een RDP tot stand brengen. Maar wat is jullie ervaring hiermee?

Als je deze vraag moet stellen, moet je ook de vraag stellen, of ze wel weten waar ze mee bezig zijn?
VPN is hier eigenlijk de standaard voor. Of eventueel RDP gateway services.
Direct RDP aan het Internet koppelen is nu niet echt best practice en is vragen om problemen.

(Niet lullig bedoelt)

Een paar korten vragen om informatie in te winnen.

- Wat doen jullie om het veiliger te maken als dat het is? Certificaat? VPN?

Certificaat zorgt voor iedere hogere veiligheid, maar lost niets op.
Dus VPN is de enige die overblijft.

- Wat voor VPN is aan te raden in netwerken zonder hard/software firewall?

MicroTik routertje. Kost nog geen 50 euro.

- 3rd party software voor VPN of niet?

OpenVPN? L2TP?

Wat wij voor de gebruikers zelf gebruiken om in het netwerk te komen is o.a.: Shrewsoft, werkt goed. Is het een aanrader om dit soort tools te gebruiken?

Voor OpenVPN gebruik ik voor mijn eindgebruikers altijd viscosity
Alternatief is TeamViewer. Want dan heb je geen inbound verkeer nodig op je Firewall. Teamviewer werkt hiervoor goed.

vrijdag 20 maart 2015 11:42

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Rolfie schreef op vrijdag 20 maart 2015 @ 11:34:
[...]

Ik mag hopen dat ik dit verkeerd begrijp, en dat je niet RDP direct aan het Internet gehangen hebt al dan niet met een andere listen port.

[...]

Als je deze vraag moet stellen, moet je ook de vraag stellen, of ze wel weten waar ze mee bezig zijn?
VPN is hier eigenlijk de standaard voor. Of eventueel RDP gateway services.
Direct RDP aan het Internet koppelen is nu niet echt best practice en is vragen om problemen.

Ik snap je vraag stelling, wij gebruiken hardware firewalls die een ondersteuning bieden voor VPN mogelijkheden echter kost dit iets meer als dat wij eraan zouden willen uitgeven en iets meer als wat de klant wilt betalen. Dit komt doordat het een module optie is bij de firewall die wij in het verleden gebruikt hebben.

Uiteraard laten wij alleen het IP door voor RDP van waar wij werken en niet andere locaties.Dit willen wij juist wijzigen.
In die zin is het niet direct een issue of een probleem voor de veiligheid van het netwerk.

Ik zoek een alternatief en wil informatie inwinnen, niet een oplossing vragen. Om deze reden post ik hem hier.

vrijdag 20 maart 2015 11:44

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Rolfie schreef op vrijdag 20 maart 2015 @ 11:34:

[...]

MicroTik routertje. Kost nog geen 50 euro.

[...]

OpenVPN? L2TP?

[...]

Voor OpenVPN gebruik ik voor mijn eindgebruikers altijd viscosity
Alternatief is TeamViewer. Want dan heb je geen inbound verkeer nodig op je Firewall. Teamviewer werkt hiervoor goed.

Teamviewer is leuk om mee te kijken met een gebruiker maar niet voor server beheer o.i.d vind ik.
OpenVPN zou kunnen inderdaad, bedankt voor de suggestie.

[ Voor 31% gewijzigd door Verwijderd op 20-03-2015 11:45 ]

vrijdag 20 maart 2015 11:51

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op vrijdag 20 maart 2015 @ 11:42:
[...]
Ik zoek een alternatief en wil informatie inwinnen, niet een oplossing vragen. Om deze reden post ik hem hier.

Beantwoord dan ook de vraag even wat in jullie geval een voldoende veilige verbinding is. Zolang je dat niet aangeeft is het erg lastig adviseren.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 20 maart 2015 11:55

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Question Mark schreef op vrijdag 20 maart 2015 @ 11:51:
[...]

Beantwoord dan ook de vraag even wat in jullie geval een voldoende veilige verbinding is. Zolang je dat niet aangeeft is het erg lastig adviseren.

Ok, je kan de topic sluiten.

vrijdag 20 maart 2015 11:57

Acties:

0 Henk 'm!

Razwer

Rolfie schreef op vrijdag 20 maart 2015 @ 11:34:
[...]
Certificaat zorgt voor iedere hogere veiligheid, maar lost niets op.
Dus VPN is de enige die overblijft.
[...]
Alternatief is TeamViewer. Want dan heb je geen inbound verkeer nodig op je Firewall. Teamviewer werkt hiervoor goed.

Wat een onzin. RDP met RD Gateway (SSL), de juiste RAP en CAP policies, (eventueel) een sausje two-factor van een third party en juiste interne firewalling is meest pijnloze en veiligste oplossing. Citrix mag (uiteraard) ook en RES op je session hosts is (optioneel) een goede oplossing. Hier hoef je je 0,0 zorgen te maken over welke clients connecten en is ideaal voor BYOD.

Een SSL VPN oplossing van Cisco/Juniper etc. werkt ook ideaal.

Teamviewer vind ik een lachwekkende suggestie voor een professionele omgeving.

[ Voor 13% gewijzigd door Razwer op 20-03-2015 12:00 ]

Newton's 3rd law of motion. Amateur moraalridder.

vrijdag 20 maart 2015 12:09

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op vrijdag 20 maart 2015 @ 11:55:
[...]

Ok, je kan de topic sluiten.

Waarom? Het klinkt alsof je het niet eens bent met mijn reactie, maar geef dan even aan waarom...

Het heeft nl. geen enkele zin dat iedereen gaat roepen hoe zijn de beveiliging van hun RDP verbindingen geregeld hebben. Er kan nl. een groot verschil zitten in de eisen en wensen per omgeving.

Ik heb aardig wat ervaring hiermee, en wil je prima adviseren. Ik moet dan alleen wel weten wát je wilt bereiken. Het enige wat ik nu weet is dat je voor de klanten een "iets veiligere" verbinding wilt. En da's een behoorlijke vage omschrijving. In mijn eerste reactie geef ik al aan dat de mogelijkheden ook afhankelijk zijn van het gebruikte OS, en ik vraag je daarom ook niet voor niets om die even te noemen. Dat heb je nu nog steeds niet gedaan, daarmee wordt het beantwoorden of discussieren over je verzoek niet echt makkelijker.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 20 maart 2015 12:35

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

De frustratie is dat ik om informatie vraag en niet om kritiek op mijn uitleg of problemen waar ik tegen aan loop. Iedereen lijkt hier te werken bij een miljoenen organisatie met 500 man die dagelijks een uur in overleg zitten om problemen op te lossen. Er zijn dus ook systeembeheerders die dingen zelf doen en wat later als anderen instellingen proberen te maken om verbeteringen door te voeren. Hierbij ben ik niet opzoek naar '' dit is toch wel een standaard '' antwoord. Daarbij is het ook nog eens zo dat iemand van 22 of 25 niet per direct volleerd is met kennis.

Vind het jammer dat het op Tweakers.net wel vaker gebeurd dat een topic meer kritiek als oplossingen oplevert, dat ik iets niet duidelijk beschrijf kan zo zijn maar ik vraag enkel wat jullie gedachte hier over is.

Dan kan bijvoorbeeld Rolfie duidelijk aangegeven dat het '' niet lullig bedoelt '' is maar twijfelen aan kennis of hier toch even op wijzen is wel een beetje laag vind ik.
Na zo een opmerking heb ik al niet eens zin meer om een topic open te houden en berichten van te krijgen. Dan mag die direct dicht, ga wel terug naar Expert Exchange als het hier zo is dat je altijd maar je spierballen moet laten zien ipv informatief te helpen of iemand in de juiste richting te krijgen.

Rolfie schreef op vrijdag 20 maart 2015 @ 11:34:
[...]

Ik mag hopen dat ik dit verkeerd begrijp, en dat je niet RDP direct aan het Internet gehangen hebt al dan niet met een andere listen port.

[...]

Als je deze vraag moet stellen, moet je ook de vraag stellen, of ze wel weten waar ze mee bezig zijn?
VPN is hier eigenlijk de standaard voor. Of eventueel RDP gateway services.
Direct RDP aan het Internet koppelen is nu niet echt best practice en is vragen om problemen.

(Niet lullig bedoelt)

Kom je nou daadwerkelijk met '' Of ze we weten waar ze mee bezig zijn? ''. Dit is dus aan mij gericht en ik moet rustig een net antwoord type? Dus zonder mij te kennen trek je direct al een kennis conclusie?

Dat gezegd te hebben, misschien weer terug naar de topic.

Hoe onze situatie nu is bij klanten:

- Cisco modem / afhankelijk van het type verbinding
- Hardware firewalls (zonder VPN optie/module, wel met pptp mogelijkheid maar dit is niet veilig genoeg)

Firewall config:
- Onze IP -> RDP request op poort xxxx via NAT naar destination 3389 intern -> allowed.
Dus het werkt nu niet voor overige mensen die dit proberen vanaf een andere locaties (logisch)
Dit is voor ons gevoel veilig maar niet veilig genoeg, buiten dat krijgen wij vaker de vraag van klanten om remote te werken met een VPN. Echter een 3rd party VPN heeft vaak een simpel bestand die je kan kopieeren en plakken in het betreffende programma die je dus direct toegang geeft in het netwerk gezien je alle instellingen in dit bestand heb zitten. Dus, Ja dit kan maar is volgens mij niet echt veilig. (VPN Shrew is een mooi voorbeeld hiervan).

Wat ik wil bereiken:
- Veilig kunnen inloggen van meerdere locaties
- Authenticatie zal via een username/pw moeten gezien wij geen andere servers of software pakketten hiervoor aangaan schaffen.

Wat ik wil weten:
- Wat jullie een veilige manier van RDP vinden.

VPN is veilig, maar gebruik je dan je firewall VPN module hiervoor of 3rd party software?

[ Voor 5% gewijzigd door Verwijderd op 20-03-2015 12:38 ]

vrijdag 20 maart 2015 12:52

Acties:

0 Henk 'm!

Razwer

Verwijderd schreef op vrijdag 20 maart 2015 @ 12:35:
Dan kan bijvoorbeeld Rolfie duidelijk aangegeven dat het '' niet lullig bedoelt '' is maar twijfelen aan kennis of hier toch even op wijzen is wel een beetje laag vind ik.
Na zo een opmerking heb ik al niet eens zin meer om een topic open te houden en berichten van te krijgen. Dan mag die direct dicht, ga wel terug naar Expert Exchange als het hier zo is dat je altijd maar je spierballen moet laten zien ipv informatief te helpen of iemand in de juiste richting te krijgen.

[...]

Firewall config:
- Onze IP -> RDP request op poort xxxx via NAT naar destination 3389 intern -> allowed.
Dus het werkt nu niet voor overige mensen die dit proberen vanaf een andere locaties (logisch)

1e stuk, relax bro, GoT zit vol met figuren die je bloed kunnen doen koken. En je beklag doen komt meteen de "ban hammer". Negeren is de beste optie. Er lopen hier namelijk ook figuren rond waar je wel wat aan hebt. Mark is zo iemand, die heeft een gigantische lading kennis, en als hij om meer info vraagt is dat om jou van een passend advies te voorzien.
Zie het zo, wanneer iemand een gigantische bak kennis heeft, die jij niet hebt, en hij vraagt meer info, dan moet dat zijn om te kunnen filteren voor het antwoord. Wanneer je op google niet de juiste term invuld krijg je ook de verkeerde info.

Dat 2e stuk, ouch, 3389 open naar inet is linke soep. zsm aanpassen. Zet een RDG op met eventueel Rdweb er voor. Het liefst in een DMZ als dat tot jouw mogelijkheden behoort. Zo staat het (alleen) open op 443 naar buiten MET SSL.

Zoals ik eerder al beschreef, er zijn 3rd party oplossingen voor two-facor authentication voor RDP/RDWeb. Het is aan te raden dit aan te schaffen, maar daar moet je wel budget voor hebben uiteraard.

Alles over een VPN gooien kan idd ook maar dan zit je wel met beperkingen. RDG (+rdweb) kun je zelfs vanaf ipads en android tablets connecten, en nog secure ook.

Overigens is VPN prima aan te bieden vanuit windows. PPTP (zou ik niet doen) L2TP en SSTP zijn mogelijk. SSTP is het simpelst, werkt ook over 443, maar is alleen weggelegd voor Windows clients.

[ Voor 4% gewijzigd door Razwer op 20-03-2015 12:54 ]

Newton's 3rd law of motion. Amateur moraalridder.

vrijdag 20 maart 2015 12:56

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Razwer schreef op vrijdag 20 maart 2015 @ 12:52:
[...]

1e stuk, relax bro, GoT zit vol met figuren die je bloed kunnen doen koken. En je beklag doen komt meteen de "ban hammer". Negeren is de beste optie. Er lopen hier namelijk ook figuren rond waar je wel wat aan hebt. Mark is zo iemand, die heeft een gigantische lading kennis, en als hij om meer info vraagt is dat om jou van een passend advies te voorzien.
Zie het zo, wanneer iemand een gigantische bak kennis heeft, die jij niet hebt, en hij vraagt meer info, dan moet dat zijn om te kunnen filteren voor het antwoord. Wanneer je op google niet de juiste term invuld krijg je ook de verkeerde info.

Dat 2e stuk, ouch, 3389 open naar inet is linke soep. zsm aanpassen. Zet een RDG op met eventueel Rdweb er voor. Het liefst in een DMZ als dat tot jouw mogelijkheden behoort. Zo staat het (alleen) open op 443 naar buiten MET SSL.

Zoals ik eerder al beschreef, er zijn 3rd party oplossingen voor two-facor authentication voor RDP/RDWeb. Het is aan te raden dit aan te schaffen, maar daar moet je wel budget voor hebben uiteraard.

Alles over een VPN gooien kan idd ook maar dan zit je wel met beperkingen. RDG (+rdweb) kun je zelfs vanaf ipads en android tablets connecten, en nog secure ook.

Die reactie van mij als laatste was dan ook zeer zeker niet gericht op Mark maar hij vroeg of er iets was

Mark ken ik niet maar deed echt niets fout hoor! haha

3389 staat alleen open achter de firewall als interne redirect.
Ik ga zeker naar RDG + Rdweb kijken of ik dit kan toepassen.

Bedankt!

vrijdag 20 maart 2015 13:05

Acties:

0 Henk 'm!

Razwer

rdweb is optioneel. Dit kan het vergemakkelijken voor gebruikers om in te loggen maar voegt niets toe aan security. Houdt dat dus wel in gedachten.
Het remoteapp gedeelte van RDWeb is een mooie feature maar ook optioneel.

Welke windows versie draait jouw backend? 2008R2 of 2012(R2)?
Er zit namelijk een redelijk verschil in filosofie bij de RDS implementatie van die versies.

Newton's 3rd law of motion. Amateur moraalridder.

vrijdag 20 maart 2015 13:31

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Beide maar het word als eerste op een 2008R2 ingesteld.

vrijdag 20 maart 2015 14:39

Acties:

0 Henk 'm!

CMD-Snake

Verwijderd schreef op woensdag 18 maart 2015 @ 09:45:
Mijn voorkeur gaat uit naar een VPN configuratie gezien ik in mijn netwerken gebruik maak van hardware firewalls.

Een firewall kan je configureren om iets wel of niet toe te laten, dus om nou te zeggen dat een bepaalde oplossing beter is bij hardwarematige firewalls is niet direct waar imho.

Een nadeel van VPN lijkt mij zelf is dat de computer van degene die contact maakt ook deel uit gaat maken van het netwerk. Je loopt dan risico dat als die computer troep heeft opgelopen het door het netwerk verspreid wordt. Tevens kan dan ook bedrijfsdata eenvoudig gekopieerd worden naar de lokale harde schijf.

Mijn ideale oplossing zou zijn een Citrix omgeving, bij voorkeur met RES Workspace manager. Dan kan je stepping stones maken waar vanuit beheer gedaan kan worden. Die stepping stone kan je met RES helemaal configureren en waar nodig dicht zetten. Zet dan ook nog two-factor authenticatie op je Citrix en dan is het behoorlijk veilig lijkt mij.

Een voordeel van Citrix is ook dat je vanaf elke computer, tablet en zelfs smartphone zou kunnen inloggen.

vrijdag 20 maart 2015 16:14

Acties:

0 Henk 'm!

Rolfie

Razwer schreef op vrijdag 20 maart 2015 @ 11:57:
[...]

Wat een onzin. RDP met RD Gateway (SSL), de juiste RAP en CAP policies, (eventueel) een sausje two-factor van een third party en juiste interne firewalling is meest pijnloze en veiligste oplossing. Citrix mag (uiteraard) ook en RES op je session hosts is (optioneel) een goede oplossing. Hier hoef je je 0,0 zorgen te maken over welke clients connecten en is ideaal voor BYOD.

Een SSL VPN oplossing van Cisco/Juniper etc. werkt ook ideaal.

Teamviewer vind ik een lachwekkende suggestie voor een professionele omgeving.

Hij heeft het over remote beheer, niet over BOYD of gebruikers die toegang moeten hebben.

En Teamviewer is hiervoor een mogelijkheid die goed en veilig werkt. Of het ook de oplossing is, tja uit de TS topic is niet zoveel te halen. Als je maar 1 server hebt draaien bij ieder klant, is het een goed alternatief. Dan ga je daar niet een complexe oplossing neer zetten, icm met RDS. Want dan ben je meer bezig om je RDS te beheren, dan je klant.

Eventuele gewone IPSec Tunnels naar een centrale beheers server is ook een goede en veilig oplossing. En werkt ook goed.

Er zijn vele mogelijkheden, maar het hangt allemaal van budget af en de requirements die er zijn.

Want om voor bv een MKB omgeving met 10 man een complete beheers servers neer te zetten icm met Citrix / Res of een Management Tooling, daar is het budget niet naar. Je mag dan vaak blij zijn dat je een werkstation hebt waarop je het beheer kan uitvoeren.

Verwijderd schreef op vrijdag 20 maart 2015 @ 11:42:

Uiteraard laten wij alleen het IP door voor RDP van waar wij werken en niet andere locaties.Dit willen wij juist wijzigen.
In die zin is het niet direct een issue of een probleem voor de veiligheid van het netwerk.

helemaal mee eens. Gelukkig hebben jullie hier over nagedacht. Ik kon namelijk regelmatig tegen, dat men gewoon RDP van de servers gewoon 1:1 genat heeft. Onder het motto van lekker gemakkelijk.
Laatst kwam ik ook weer een firewall tegen, die voor het hele Internet, op de standard firewall beheers port open stond, op http. Vond de vorige beheerder gemakkelijk. Want dan kon die alles op afstand gemakkelijk doen.

Verwijderd schreef op vrijdag 20 maart 2015 @ 12:35:
De frustratie is dat ik om informatie vraag en niet om kritiek op mijn uitleg of problemen waar ik tegen aan loop. Iedereen lijkt hier te werken bij een miljoenen organisatie met 500 man die dagelijks een uur in overleg zitten om problemen op te lossen. Er zijn dus ook systeembeheerders die dingen zelf doen en wat later als anderen instellingen proberen te maken om verbeteringen door te voeren. Hierbij ben ik niet opzoek naar '' dit is toch wel een standaard '' antwoord. Daarbij is het ook nog eens zo dat iemand van 22 of 25 niet per direct volleerd is met kennis.

Sorry als het verkeerd overkwam. Was zeker niet de bedoeling. De vraagstelling is alleen wel zo, dat je er alle kanten mee op kan.
Sorry als ik de verkeerde aannamen heb gedaan.

Dan kan bijvoorbeeld Rolfie duidelijk aangegeven dat het '' niet lullig bedoelt '' is maar twijfelen aan kennis of hier toch even op wijzen is wel een beetje laag vind ik.

Hij was zeker niet zo bedoelt, mijn excuses als die wel zo gevoelt is.

[ Voor 59% gewijzigd door Rolfie op 20-03-2015 16:33 ]

vrijdag 20 maart 2015 16:52

Acties:

0 Henk 'm!

Razwer

Rolfie schreef op vrijdag 20 maart 2015 @ 16:14:
[...]En Teamviewer is hiervoor een mogelijkheid die goed en veilig werkt.

Blijkbaar ben je snel tevreden. Performance van Teamviewer is naar mijn mening ronduit ruk in vergelijking tot RDP.
Daarnaast zet je je hele toko open naar een 3e partij die je maar vertrouwd op hun mooie blauwe ogen. Defineer veilig

. Dat is vooral een gevoel ja, en eigenlijk ook een hele andere discussie.

[ Voor 24% gewijzigd door Razwer op 20-03-2015 16:54 ]

Newton's 3rd law of motion. Amateur moraalridder.

vrijdag 20 maart 2015 16:59

Acties:

0 Henk 'm!

Trommelrem

Razwer schreef op vrijdag 20 maart 2015 @ 16:52:
[...]
Blijkbaar ben je snel tevreden. Performance van Teamviewer is naar mijn mening ronduit ruk in vergelijking tot RDP.
Daarnaast zet je je hele toko open naar een 3e partij die je maar vertrouwd op hun mooie blauwe ogen. Defineer veilig . Dat is vooral een gevoel ja, en eigenlijk ook een hele andere discussie.

Hangt af van de voorwaarden. Als het op papier goed is, dan is het in principe goed.
Performance van TeamViewer vind ik overigens zeer goed. Zelfs over 2,5G verbindingen werkt TeamViewer nog redelijk.

Is het niet een optie om RDP gewoon dicht te gooien en om alle beheer via PowerShell te doen?

Eventueel kun je een PowerShell scriptje schrijven waarmee je remote de firewall tijdelijk openzet voor jouw IP adres, voor die ene keer dat je RDP gebruikt.

vrijdag 20 maart 2015 17:02

Acties:

0 Henk 'm!

Rolfie

Razwer schreef op vrijdag 20 maart 2015 @ 16:52:
[...]
Blijkbaar ben je snel tevreden. Performance van Teamviewer is naar mijn mening ronduit ruk in vergelijking tot RDP.

RDP werkt 10 keer lekkerder. Maar dan moet je wel de mogelijkheid om een RDP verbinding te maken vanaf je huidige netwerk. En dat is nog wel eens lastig, als de andere kant niet de mogelijkheden bied tot een SSL VPN en de rest door een Firewall tegengehouden wordt. En dan werkt RDP niet altijd perfect. En om daar een RDS omgeving voor neer te zeggen. Das ook weer niet echt gemakkelijk.

Daarnaast zet je je hele toko open naar een 3e partij die je maar vertrouwd op hun mooie blauwe ogen. Defineer veilig . Dat is vooral een gevoel ja, en eigenlijk ook een hele andere discussie.

Ben ik helemaal met je eens, op beide punten. Maar dat heb je met alle cloud oplossingen die tegenwoordig bestaan. Hoe veilig is het werkelijk.
Voor een omgeving van 5 man, met 1 server is het een oplossing.
Voor een grotere omgeving / Enterprise , daar is dit helemaal geen optie.

Het hangt allemaal van je wensen en eisen af, of het een mogelijkheid.

vrijdag 20 maart 2015 17:09

Acties:

0 Henk 'm!

_Arthur

blub

Het gaat dus niet om alleen remote beheer;

Dus het werkt nu niet voor overige mensen die dit proberen vanaf een andere locaties (logisch)
Dit is voor ons gevoel veilig maar niet veilig genoeg, buiten dat krijgen wij vaker de vraag van klanten om remote te werken met een VPN.

Dus, remote beheer & de klant wil ook remote kunnen werken.

vrijdag 20 maart 2015 17:43

Acties:

0 Henk 'm!

Razwer

_Arthur schreef op vrijdag 20 maart 2015 @ 17:09:
Dus, remote beheer & de klant wil ook remote kunnen werken.

zo vatte ik het ook op. VPN is niet meer van deze tijd. Voor puur remote beheer zou ik nog iets kunnen bedenken (maar dan eerder aan een tunnel tussen bedrijven) maar "telewerken" is het, ook voor MKB, outdated.

Degelijke oplossingen kosten soms geld ja, maar je moet ook voor een bepaalde kwaliteit willen staan. Zo ben ik in ieder geval. Wanneer een bedrijf een houtje touwtje oplossing wil waar ik niet achter kan staan, doen ze het maar zonder mij. Zo verlies je op korte termijn geld, maar dat betaald zich op langere termijn terug.

Newton's 3rd law of motion. Amateur moraalridder.

vrijdag 20 maart 2015 19:01

Acties:

0 Henk 'm!

Verwijderd

_Arthur schreef op vrijdag 20 maart 2015 @ 17:09:
Het gaat dus niet om alleen remote beheer;

[...]

Dus, remote beheer & de klant wil ook remote kunnen werken.

Gezien dit zou ik toch op opteren voor een TS Gateway. VPN vind ik ook niet meer van deze tijd op uitzonderingen na.

Als je voor een VPN oplossing kiest voor Remote beheer en Thuiswerkers dan zou ik altijd voor SSL VPN kiezen want zaken zoals NAT of Firewalls leveren dan minder problemen op dan met andere VPN oplossingen.

vrijdag 20 maart 2015 19:53

Acties:

0 Henk 'm!

Razwer

CMD-Snake schreef op vrijdag 20 maart 2015 @ 14:39:
[...]
Een voordeel van Citrix is ook dat je vanaf elke computer, tablet en zelfs smartphone zou kunnen inloggen.

Google Play: Microsoft Remote Desktop
https://itunes.apple.com/...-desktop/id714464092?mt=8
Nuff said. Niet dat Citrix niet sjieker is, maar voor MKB redelijk aan de prijs. Je moet het niet mooier maken dan het is. RDS voldoet in principe prima, tenzij de TS met randvoorwaarden komt waar wij niet van weten.

Trommelrem schreef op vrijdag 20 maart 2015 @ 16:59:
[...]
Is het niet een optie om RDP gewoon dicht te gooien en om alle beheer via PowerShell te doen?

Eventueel kun je een PowerShell scriptje schrijven waarmee je remote de firewall tijdelijk openzet voor jouw IP adres, voor die ene keer dat je RDP gebruikt.

Verwijderd schreef op vrijdag 20 maart 2015 @ 12:35:
Daarbij is het ook nog eens zo dat iemand van 22 of 25 niet per direct volleerd is met kennis.

Schoenmaker blijf bij je leest.

Trommelrem schreef op vrijdag 20 maart 2015 @ 16:59:
Hangt af van de voorwaarden. Als het op papier goed is, dan is het in principe goed.
Performance van TeamViewer vind ik overigens zeer goed. Zelfs over 2,5G verbindingen werkt TeamViewer nog redelijk.

Razwer schreef op vrijdag 20 maart 2015 @ 17:43:
Degelijke oplossingen kosten soms geld ja, maar je moet ook voor een bepaalde kwaliteit willen staan. Zo ben ik in ieder geval. Wanneer een bedrijf een houtje touwtje oplossing wil waar ik niet achter kan staan, doen ze het maar zonder mij. Zo verlies je op korte termijn geld, maar dat betaald zich op langere termijn terug.

dus dat.

Verwijderd schreef op vrijdag 20 maart 2015 @ 19:01:
Gezien dit zou ik toch op opteren voor een TS Gateway.

RD Gateway... TS Gateway is deprecated (2008R2), sorry kon het niet laten

Newton's 3rd law of motion. Amateur moraalridder.

zaterdag 21 maart 2015 10:42

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op vrijdag 20 maart 2015 @ 12:35:
De frustratie is dat ik om informatie vraag en niet om kritiek op mijn uitleg of problemen waar ik tegen aan loop. Iedereen lijkt hier te werken bij een miljoenen organisatie met 500 man die dagelijks een uur in overleg zitten om problemen op te lossen. Er zijn dus ook systeembeheerders die dingen zelf doen en wat later als anderen instellingen proberen te maken om verbeteringen door te voeren. Hierbij ben ik niet opzoek naar '' dit is toch wel een standaard '' antwoord. Daarbij is het ook nog eens zo dat iemand van 22 of 25 niet per direct volleerd is met kennis.

Vind het jammer dat het op Tweakers.net wel vaker gebeurd dat een topic meer kritiek als oplossingen oplevert, dat ik iets niet duidelijk beschrijf kan zo zijn maar ik vraag enkel wat jullie gedachte hier over is.

Dit frustatiepunt kan ik me wel voorstellen hoor. Je hebt een redelijk simpele vraag en velen (inclusief mijzelf) geven niet direct een antwoord op en komen met allemaal vragen en kritische punten aanzetten. Ik kan me best wel voorstellen dat je daar soms niet op zit te wachten (ondanks dat de punten inhoudelijk soms wel terecht zijn). Het punt is alleen dat zonder context en wat meer achtergrondinformatie zo'n vraag niet altijd even makkelijk te beantwoorden is.

Dit soort reacties zijn ook erg lastig te modereren. Wanneer is iets nog een goed bedoeld advies, of wanneer loopt een mede-tweaker iemand anders offtopic af te branden. Plus dat daar nog bij komt dat Tweakers een discussieforum is, en dat de meeste IT-ers vaak nog wel een stevige mening hebben.

Mocht je voor een volgende keer het niet eens zijn met een bepaalde reactie, dan kun je ook een topicreport aanmaken om zo een moderator even aan zijn mouw te trekken.

Of wat misschien nog beter is, maak bv een groot "Hoe regelen tweakers remote toegang?" topic aan. Je zou dan in een grote topicstart alle gangbare methodes uit kunnen leggen, met hun voor- en nadelen. Er komt vanzelf dan wel een discussie op gang wanneer welke methode het beste toepasbaar is, en met welke zaken rekening gehouden dient te worden. Er zijn mede-tweakers genoeg met praktijkervaring hiermee, zoals je ook in de reacties kunt lezen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zondag 22 maart 2015 00:40

Acties:

0 Henk 'm!

Dennism

Verwijderd schreef op vrijdag 20 maart 2015 @ 12:35:

Dat gezegd te hebben, misschien weer terug naar de topic.

Hoe onze situatie nu is bij klanten:

- Cisco modem / afhankelijk van het type verbinding
- Hardware firewalls (zonder VPN optie/module, wel met pptp mogelijkheid maar dit is niet veilig genoeg)

Firewall config:
- Onze IP -> RDP request op poort xxxx via NAT naar destination 3389 intern -> allowed.
Dus het werkt nu niet voor overige mensen die dit proberen vanaf een andere locaties (logisch)
Dit is voor ons gevoel veilig maar niet veilig genoeg, buiten dat krijgen wij vaker de vraag van klanten om remote te werken met een VPN. Echter een 3rd party VPN heeft vaak een simpel bestand die je kan kopieeren en plakken in het betreffende programma die je dus direct toegang geeft in het netwerk gezien je alle instellingen in dit bestand heb zitten. Dus, Ja dit kan maar is volgens mij niet echt veilig. (VPN Shrew is een mooi voorbeeld hiervan).

Wat ik wil bereiken:
- Veilig kunnen inloggen van meerdere locaties
- Authenticatie zal via een username/pw moeten gezien wij geen andere servers of software pakketten hiervoor aangaan schaffen.

Wat ik wil weten:
- Wat jullie een veilige manier van RDP vinden.

VPN is veilig, maar gebruik je dan je firewall VPN module hiervoor of 3rd party software?

Ik denk dat je goed moet kijken wat voor hardware firewall je verkoopt in je trajecten bij klanten.

De meeste zaken die je aanhaalt kunnen afhankelijk van de grootte van de klant al gedaan worden met de goedkoopste security appliances van de bekende aanbieders, o.a. Sonicwall heeft bijv. standaard 2 SSL VPN licenties op iedere appliance voor beheer / remote werken. 2 is natuurlijk niet veel, maar deze werken wel altijd zonder extra licenties te kopen, ook Juniper heeft deze 2x VPN licentie er gratis inzitten op de SRX serie en zo zullen de andere aanbieders dat ook vast hebben.

Verkoop je dus in het traject een security appliance met deze functie dan heb je voor remote beheer eigenlijk alle zaken die je noemt al afgedekt, zonder dat je poorten open hoeft te zetten direct naar internet, en de klant heeft direct een goede appliance welke vaak naar wens kan uitgerust kan worden met andere zaken als DPI / IPS / Webfilter / Gateway AV met extra licenties. Dit is natuurlijk afhankelijk van de vraag of de klant deze zaken nodig vind, en of hij bereid is te investeren in de vaak jaarlijkse licentie kosten (vanaf zo'n 175 tot 1000+ euro, afhankelijk van het type appliance).

De kosten van deze Appliances lopen vaak vanaf de 300 euro, tot zo gek je het maar wil maken, waarbij vaak het aantal nodes in het klantnetwerk, het aantal gelijktijdig openstaande connecties of de troughput van de internet verbinding bepalend is voor welke appliance je nodig hebt (de goedkoopste kunnen vaak maar zo'n 25Mbit / 5000 gelijktijdige connecties aan met alle beveilings opties aan, terwijl de duurdere modellen tot een aantal Gbit / miljoenen connecties aankunnen, en alles daar tussen in.

Wil een klant zelf remote kunnen werken, dan kan je vaak losse licenties bij kopen, of in sommige gevallen een module activeren in de firewall met de daarbij behorende kosten. Ook deze VPN opties kun je vaak zo veilig maken als je zelf wil. Standaard is het vaak een SSL VPN die via een client of website ingebouwd in de appliance werkt met username / password. Wil je meer beveiliging dan kun je bijv. 2 Factor authenticatie met een hardware token of een mobile app vaak toepassen. O.a. Vasco en RSA zijn hier grote aanbieders in.

Pagina: 1

Reageer