Sécurisation connexion RDP

Sécurisation connexion RDP - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 23-12-2013 à 14:23:59    

Bonjour à tous,
 
Disposant d'un nombre très important de serveurs avec IP publique accessibles via RDP, serait t'il possible de limiter les connexions à certains usagers?  
 
Le problème étant que ces usagers doivent quand même pouvoir se connecter de n'importe où (donc pas de filtrage par IP). Le but étant d'empêcher jusqu'à l'invit de connexion.
 
Merci d'avance


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 14:23:59   

Reply

Marsh Posté le 23-12-2013 à 14:28:57    

salut  
 
" Le but étant d'empêcher jusqu'à l'invit de connexion."
Tu veux dire quoi ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-12-2013 à 14:48:19    

La fenêtre "id/mdp"


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 14:49:37    

Mais entre temps, jme demande si changer le port d'écoute en en appliquant un unique par serveur (qui serait communiqué au client concerné uniquement) ne serait pas une bonne option.


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 15:12:18    

oula ... Soit tu expliques un peu plus, soit ca va être difficile ... Tu as un RDS par client ???? Et une ip publique par RDS ????


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-12-2013 à 16:02:14    

C'est exact


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 16:06:51    

Pour expliciter un peu l'environnement :  
 
J'ai 300 serveurs mis à la dispositions de divers clients (1 client/serveur), les clients se connectant tous en rdp (soit à partir du client rdp win/mac, soit en client léger).


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 16:34:53    

ok.
 
Déjà pour optimiser, tu pourrais peut être faire du pat pour diviser un peu lo nombre d'ip publique.
 
Après, le fait de séparer les serveur fonction d'un port c'est pas ce qu'on appel du sécure ... Mais à première vue cela semble plus propre et plus économique en ip publique.
 
Après reste à savoir si on peut changer le port d'écoute de RDS.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-12-2013 à 16:48:11    

Alors le PAT, j'y ai longuement pensé, mais dans certains cas (indépendant de la volonté simple et non commerciale d'un admin), la mise en pratique est malheureusement impossible.
 
Pour ce qui est d'un port aléatoire d'écoute attribué à chaque serveur en lieu et place du 3389, c'est déjà plus sécure.
 
Sinon on peut bien sûr changer le port d'écoute rdp.


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 16:59:20    

aneurysm a écrit :

Alors le PAT, j'y ai longuement pensé, mais dans certains cas (indépendant de la volonté simple et non commerciale d'un admin), la mise en pratique est malheureusement impossible.
 
Pour ce qui est d'un port aléatoire d'écoute attribué à chaque serveur en lieu et place du 3389, c'est déjà plus sécure.


 
euh non, faut vraiment pas prendre ça comme une mesure de sécurité car ça n'en est pas une, dans les deux cas tu as un service exposé sur internet, ça ne change rien.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 23-12-2013 à 16:59:20   

Reply

Marsh Posté le 23-12-2013 à 17:07:59    

Bin j'ai toujours un service qui n'est pas associé à son port d'origine, autrement dit connu de n'importe qui pour essayer à la chaîne des centaines d'identifiants/mdp au hasard obligeant de bloquer l'ip à la main (ce qui m'est déjà arrivé...). Ce qui me semble déjà pas trop mal


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 17:19:18    

Un RDS sur Internet sans filtrage IP ni RDGateway, c'est malheureusement assez courant, mais assez dangereux il est vrai.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-12-2013 à 17:20:41    

Sinon terminologiquement, il serait peut être plus juste de dire "rendre moins visible" que "sécuriser"


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 23-12-2013 à 19:26:09    

Met une TS Gateway ou un équipement style Netscaler

Reply

Marsh Posté le 24-12-2013 à 00:07:50    

Pour 250 serveurs et au moins 10 000 users, j'imagine qu'il me faut un serveur sizé comme un dingue pour faire ts gateway?


---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 24-12-2013 à 00:26:43    

une ptite ferme ouais :o

Reply

Marsh Posté le 24-12-2013 à 11:43:24    

pas forcément. Pour le sizer faut surtout regarder les connexions/secondes moyenne.
 
Le nombre de serveur derrière est pas hyper impactant.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 24-12-2013 à 17:38:32    

je dirais plutôt le nb de sessions simultanées que le nb de connexions/secondes

Reply

Marsh Posté le 24-12-2013 à 18:04:00    

"Pour 250 serveurs et au moins 10 000 users, j'imagine qu'il me faut un serveur sizé comme un dingue pour faire ts gateway?"
"Mais entre temps, jme demande si changer le port d'écoute en en appliquant un unique par serveur (qui serait communiqué au client concerné uniquement) ne serait pas une bonne option."
 
Au mieux, un devoir de vacance, au pire, un projet qui va aller dans le mur:
Dimension du projet versus solution artisanale, c'est pas réél là ....

Reply

Marsh Posté le 26-12-2013 à 08:14:02    

Tu as près de 300 serveurs RDS avec une connexion RDP en direct d'internet via une IP publique ? Si c'est ça  [:mister mystere]

Reply

Marsh Posté le 27-12-2013 à 08:43:41    

"Dimension du projet versus solution artisanale, c'est pas réél là ...."
 
Ça devient vite réel face à la réalité du marché, tu débarques dans une boite en expansion depuis 5 ans, avec deux anciens admin qui appliquaient une politique laxiste dans tous les domaines, en plus de croire que leur parc ne comptait toujours que 5 serveurs clients. Et tu saupoudre le tout avec une direction qui ne veut investir que dans l'expansion directe de l'infra (c'est à dire de nouveaux serveurs hôtes qui vont vite être rentabiliser, sinon le reste, bin on s'en branle, ça marche déjà très bien comme ça.... :o )
 
J'me suis déjà fait chier à rattraper le coche dans tous les autres domaines (haute-dispo avec clusters de basculements,serveurs avec 2012R2 comme hôtes hyper-v,supervision (nagios, VMM 2012R2, wsus), mail (exchange 2013), sécurité (reconfiguration des FW, fermetures d'une myriade de trous), réseau (déploiements d'un réseau interne dédié à la sauvegarde et tous les transferts annexes, redondance de cnx sur 2 liens), sauvegarde (serveur de sauvegarde dédup+réplication sur deux sites distants) BREF
Sur ce point, je ne peux "malheureusement" rien faire d'autre que du bricolage, toute autre solution qui coûterait/gênerait le client/foutrait la merde dans toutes les procédures des autres services m'est interdite.


Message édité par aneurysm le 27-12-2013 à 08:49:12

---------------
Le train de tes injures roule sur les rails de mon indifférence, je préfère partir plutôt que d'entendre ça, plutôt que d'être sourd
Reply

Marsh Posté le 28-12-2013 à 18:18:38    

VPN en front + gestionnaire de session pour donner une IP d'accès aux RDS en interne = 1 IP publique, tout le reste passe en private dans le VPN.
En interne tu limite avec session X correspond a serveur X (serveur Y n'acceptera pas se qui viens pas de la bonne session <_< )

Reply

Marsh Posté le 30-12-2013 à 16:59:19    

Je@nb a écrit :

je dirais plutôt le nb de sessions simultanées que le nb de connexions/secondes


Je croyais qu'une fois la sessions ouverte on passait plus par le RDGateway ... Je me trompe ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 30-12-2013 à 17:04:56    

sisi, ta RD Gateway encapsule le flux RDP dans de l'HTTPS tout du long de la connexion.

Reply

Marsh Posté le 31-12-2013 à 09:23:55    

ahhhhh ca explique peut être un soucis au taf ... Merci.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 31-12-2013 à 09:39:54    

oula les fêtes ... Je parlais session broker


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed