Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Externe toegang tot VM

Pagina: 1
Acties:

Vraag


  • Robinkos
  • Registratie: december 2014
  • Laatst online: 22-02 15:17
Beste tweakers,

Ik zit met een probleem waar ik nog geen duidelijke oplossing voor kan vinden.
de situatie: Een externe medewerker (niet van ons bedrijf) moet enkel toegang hebben tot 1 Windows 10 VM. Alleen hoe kan je dit veilig inrichten?

- Toegang geven tot ons (volledige) netwerk is geen optie
- Liefst de gebruiker met een lokaal account toegang geven (géén domein account)
- Openzetten met poort 3389 is niet veilig

Kent iemand een goede oplossing hiervoor? Thanks alvast! 8)

Alle reacties


  • tweakict
  • Registratie: februari 2010
  • Laatst online: 22-02 15:43
SSL / IPSEC VPN optuigen en in de firewall de toegang zo inregelen dat vanuit de VPN enkel RDP (3389) te benaderen is op deze specifieke VM?

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 22-02 16:02

Jazzy

Moderator SWS

Moooooh!

Als je het simpel wilt houden dan open je poort 3389 gewoon en sta je alleen verkeer toe van het IP-adres van de locatie van de externe medewerker.

Exchange en Office 365 specialist. Mijn blog.


  • MAX3400
  • Registratie: mei 2003
  • Nu online

MAX3400

XBL: OctagonQontrol

RDSWeb inrichten? TeamViewer service op de VM zetten? VM een NIC in je DMZ geven?

Er zijn legio "semi-secure" oplossingen maar hoe veiliger het moet, hoe hoger de kosten (inrichting & beheer).

Add and message me on XBL for FM7 or FH4: OctagonQontrol


  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 16:45

HKLM_

www.cloud23.nl

Jazzy schreef op donderdag 14 februari 2019 @ 09:46:
Als je het simpel wilt houden dan open je poort 3389 gewoon en sta je alleen verkeer toe van het IP-adres van de locatie van de externe medewerker.
Installeer dan gelijk even een ssl certificaat op de VM en gooi IIS Crypto er overheen.

Ubiquiti • 2 site’s • 2x Unifi USG 3P • Unifi Switch 8 ports 60w • 2x Unifi AC-LR • 2x Unifi AC-Lite • Unifi CloudKey


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 22-02 22:05

The Eagle

I wear my sunglasses at night

Voor dit soort hele specifieke dingen laat je een externe gewon naar kantoor komen, geef je hem een standaard account op het netwerk met mail etc en toegang tot die VM.
Hij is extern, dat er soms niet van huis uit gewerkt kan worden hoort er ook bij.

Wil je het Q&D: Teamviewer op die bak installeren.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Equator
  • Registratie: april 2001
  • Laatst online: 09:51

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

En zodra je die externe toegang geeft tot deze VM, hoe houd je hem dan op de VM? Oftewel, wat kan hij dan verder in het netwerk?

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


  • Robinkos
  • Registratie: december 2014
  • Laatst online: 22-02 15:17
Equator schreef op donderdag 14 februari 2019 @ 12:20:
En zodra je die externe toegang geeft tot deze VM, hoe houd je hem dan op de VM? Oftewel, wat kan hij dan verder in het netwerk?
Ik heb hem een lokaal account gegeven zonder iets van admin rechten. :9

  • GoldenBatt
  • Registratie: januari 2006
  • Laatst online: 21-02 15:01
Robinkos schreef op donderdag 14 februari 2019 @ 12:22:
[...]


Ik heb hem een lokaal account gegeven zonder iets van admin rechten. :9
Dit betekend niet dat hij dan alsnog niet bij het interne netwerk kan ;)

Specs!


  • Robinkos
  • Registratie: december 2014
  • Laatst online: 22-02 15:17
GoldenBatt schreef op donderdag 14 februari 2019 @ 12:23:
[...]


Dit betekend niet dat hij dan alsnog niet bij het interne netwerk kan ;)
Klopt, Iemand hier nog een idee voor?

  • MAX3400
  • Registratie: mei 2003
  • Nu online

MAX3400

XBL: OctagonQontrol

Robinkos schreef op donderdag 14 februari 2019 @ 12:24:
[...]


Klopt, Iemand hier nog een idee voor?
Een paar boeken lezen?

Ik zie nergens wat de VM moet doen, wat de user moet doen, wat de applicaties doen, etc.

Andersom, je VM zit nu dus op een IP van het interne netwerk zonder enig idee bij de beheerders wat er gebeurt?

Add and message me on XBL for FM7 or FH4: OctagonQontrol


  • GoldenBatt
  • Registratie: januari 2006
  • Laatst online: 21-02 15:01
Misschien eerst eens handig om uit te leggen wat je nou precies wilt. Wat moet diegene op die VM bak? Word documenten bewerken? Naar de wallpaper kijken? Pas dan is hier wat zinnigs op te zeggen. Je kan de hele bak wel dicht timmeren zodat het geen netwerk heeft, en alleen externe toegang, maar dan wat?

Specs!


  • Robinkos
  • Registratie: december 2014
  • Laatst online: 22-02 15:17
Er wordt hier een nieuw software pakket getest. verder hoeft er vrij weinig mee gedaan te worden.
Mijn collega + een extern iemand gaan hiermee het een en ander mee knutselen.

  • Equator
  • Registratie: april 2001
  • Laatst online: 09:51

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

Robinkos schreef op donderdag 14 februari 2019 @ 12:24:
[...]


Klopt, Iemand hier nog een idee voor?
Nou, effectief wil je die VM dus isoleren van de rest van je netwerk. Dat kan door dat ding achter een firewall te plaatsen waarmee je de toegang tot de rest van het netwerk blokkeert. :)

Je kan ook een aparte firewall op de Vm installeren, maar dan moet je monitoring inrichten op deze firewall zodat je zeker weet dat hij niet uitgeschakeld kan worden.

Maar je kan er ook voor zorgen dat deze externe partij geen shell of desktop toegang heeft. Dus hij krijgt alleen maar de aplicatie te zien, en zodra hij deze afsluit verbreek je de (RDP) sessie.

Wil je het goed doen, dan combineer je enkele van deze maatregelen.

Equator wijzigde deze reactie 14-02-2019 12:43 (4%)

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 22-02 16:02

Jazzy

Moderator SWS

Moooooh!

Robinkos schreef op donderdag 14 februari 2019 @ 12:24:
[...]


Klopt, Iemand hier nog een idee voor?
Dit is opeens een hele andere vraag. Is deze externe zo'n grote bedreiging? Want dan zou ik hem überhaupt niet in de buurt van je netwerk laten. Met andere woorden, maak het niet ingewikkelder dan nodig.

Exchange en Office 365 specialist. Mijn blog.


  • Robinkos
  • Registratie: december 2014
  • Laatst online: 22-02 15:17
Jazzy schreef op donderdag 14 februari 2019 @ 13:19:
[...]
Dit is opeens een hele andere vraag. Is deze externe zo'n grote bedreiging? Want dan zou ik hem überhaupt niet in de buurt van je netwerk laten. Met andere woorden, maak het niet ingewikkelder dan nodig.
Geef ik je groot gelijk aan. Mijn collega vertrouwt die persoon dus ik vertrouw het ook wel dat er niet veel geks mee gedaan gaat worden. :)

  • iwanscholten
  • Registratie: mei 2012
  • Laatst online: 15:45
Robinkos schreef op donderdag 14 februari 2019 @ 13:22:
[...]


Geef ik je groot gelijk aan. Mijn collega vertrouwt die persoon dus ik vertrouw het ook wel dat er niet veel geks mee gedaan gaat worden. :)
En hierdoor gaan er ook nog wel eens dingen niet goed ;)

toch even niet opletten en OOPS
Pagina: 1


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True