Externe toegang tot VM

SSL / IPSEC VPN optuigen en in de firewall de toegang zo inregelen dat vanuit de VPN enkel RDP (3389) te benaderen is op deze specifieke VM?

Als je het simpel wilt houden dan open je poort 3389 gewoon en sta je alleen verkeer toe van het IP-adres van de locatie van de externe medewerker.

RDSWeb inrichten? TeamViewer service op de VM zetten? VM een NIC in je DMZ geven?

Er zijn legio "semi-secure" oplossingen maar hoe veiliger het moet, hoe hoger de kosten (inrichting & beheer).

Jazzy schreef op donderdag 14 februari 2019 @ 09:46:
Als je het simpel wilt houden dan open je poort 3389 gewoon en sta je alleen verkeer toe van het IP-adres van de locatie van de externe medewerker.

Installeer dan gelijk even een ssl certificaat op de VM en gooi IIS Crypto er overheen.

Voor dit soort hele specifieke dingen laat je een externe gewon naar kantoor komen, geef je hem een standaard account op het netwerk met mail etc en toegang tot die VM.
Hij is extern, dat er soms niet van huis uit gewerkt kan worden hoort er ook bij.

Wil je het Q&D: Teamviewer op die bak installeren.

En zodra je die externe toegang geeft tot deze VM, hoe houd je hem dan op de VM? Oftewel, wat kan hij dan verder in het netwerk?

pieterbeun schreef op donderdag 14 februari 2019 @ 12:22:
[...]


Ik heb hem een lokaal account gegeven zonder iets van admin rechten.

Dit betekend niet dat hij dan alsnog niet bij het interne netwerk kan

pieterbeun schreef op donderdag 14 februari 2019 @ 12:24:
[...]


Klopt, Iemand hier nog een idee voor?

Een paar boeken lezen?

Ik zie nergens wat de VM moet doen, wat de user moet doen, wat de applicaties doen, etc.

Andersom, je VM zit nu dus op een IP van het interne netwerk zonder enig idee bij de beheerders wat er gebeurt?

Misschien eerst eens handig om uit te leggen wat je nou precies wilt. Wat moet diegene op die VM bak? Word documenten bewerken? Naar de wallpaper kijken? Pas dan is hier wat zinnigs op te zeggen. Je kan de hele bak wel dicht timmeren zodat het geen netwerk heeft, en alleen externe toegang, maar dan wat?

pieterbeun schreef op donderdag 14 februari 2019 @ 12:24:
[...]


Klopt, Iemand hier nog een idee voor?

Nou, effectief wil je die VM dus isoleren van de rest van je netwerk. Dat kan door dat ding achter een firewall te plaatsen waarmee je de toegang tot de rest van het netwerk blokkeert.

Je kan ook een aparte firewall op de Vm installeren, maar dan moet je monitoring inrichten op deze firewall zodat je zeker weet dat hij niet uitgeschakeld kan worden.

Maar je kan er ook voor zorgen dat deze externe partij geen shell of desktop toegang heeft. Dus hij krijgt alleen maar de aplicatie te zien, en zodra hij deze afsluit verbreek je de (RDP) sessie.

Wil je het goed doen, dan combineer je enkele van deze maatregelen.

[ Voor 4% gewijzigd door Equator op 14-02-2019 12:43 ]

pieterbeun schreef op donderdag 14 februari 2019 @ 12:24:
[...]


Klopt, Iemand hier nog een idee voor?

Dit is opeens een hele andere vraag. Is deze externe zo'n grote bedreiging? Want dan zou ik hem überhaupt niet in de buurt van je netwerk laten. Met andere woorden, maak het niet ingewikkelder dan nodig.

pieterbeun schreef op donderdag 14 februari 2019 @ 13:22:
[...]


Geef ik je groot gelijk aan. Mijn collega vertrouwt die persoon dus ik vertrouw het ook wel dat er niet veel geks mee gedaan gaat worden.

En hierdoor gaan er ook nog wel eens dingen niet goed

toch even niet opletten en OOPS