- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
юни, по RDP раздельно, при авторизации происходит выход из локальнго (если было авторизовано), и наоборот.
По VNC, по моему, общий вывод и на физический монитор в т.ч.
---------- Добавлено 07.06.2016 в 19:37 ----------
Ой, показалось что первая страница последняя, прослоупочил.
igiodua, а шо с шифрованием не так?
Да тут мне "специалисты по безопасности" высказали некоторый пессимизм касательно доступа к этому рабочему месту.. что если логин\пароль попадёт к кому-то?
Как гарантировать безопасность доступа к этому рабочему месту? (По ип не подходит, часто физически перемещаюсь по странам, а рабочее место должно быть доступно 24\7)
Может есть дополнительная двойная аутентификация по смс или другие варианты.. шифрование какое-то с ключем по токену..
Да тут мне "специалисты по безопасности" высказали некоторый пессимизм касательно доступа к этому рабочему месту.. что если логин\пароль попадёт к кому-то?
Как гарантировать безопасность доступа к этому рабочему месту? (По ип не подходит, часто физически перемещаюсь по странам, а рабочее место должно быть доступно 24\7)
Может есть дополнительная двойная аутентификация по смс или другие варианты.. шифрование какое-то с ключем по токену..
Возьмите VDS и настройте VPN, будет постоянный ip и относительно безопасно, если будет пользоваться публичными точками доступа, ограничение по ip сделайте.
Как гарантировать безопасность доступа к этому рабочему месту?
Ни одна компания в мире не гарантирует 100% безопасность. И майкрософт, и сони, и apple еще с десяток ведущих брендов взламывали. Так что говорить о 100% безопасности при удаленном рабочем офисе.. глупо. Можно сократить риски, но гарантировать на 100%.. нельзя
igiodua, да бред всё это.. С таким же успехом можно и ключи от хаты потерять и т.п.
Даже если постороннему и попадёт в руки логин и пароль пользователя, то у него нет ни адреса сервера, ни данных тоннеля к серверу.
esetnod, по VNC - как по Тимвьюеру.
юни, Нет. Это всего навсего удаленный сеанс. В него можно войти с консоли, но естественно нужен логин и пароль. По сути своей, после выдачи сервера, клиент получает админский доступ и делает на сервере что угодно, в том числе меняет пароль, разрешает доступ к серверу с определенного ип и.т.д.
Полностью соглашусь!
И хостер.
Юни, мне хостер вообще дал адрес, лог и пасс от KVM-консоли. Дальше я делал всё что мне вздумается и хостеру был фиолетово! В своём случае я поднимал Esxi (лог и пас знал только я), а на этой ферме поднимал в первую очередь Юникс шлюз (он кстати и поднимал и держал тоннель до нужного мне места), а потом нужные мне серваки (и опять же, логи и пассы знал только я).
Кстати, такой вопрос: если к серверу подключить монитор, то человек увидит тот же рабочий стол, что и удалённый пользователь?
То что установлено непосредственно на эту железку.. Или оболочку фермы (с запросом логинизации) или в случае Винды - оболочку винды с запросом логинизации).
Сам поток данных протокола RDP - не думаю что он кому-то интересен.. он всего лишь передаёт изображение в основном.
Вообщем, как уже сказали - это известная практика (а главное проверенная!), для тех, кто не хочет чтоб сервак с данными находился в том же городе/стране с людьми работаюшим на этом сервере ;-)
"Безопасники" говорят что ок, только если прикрутить к моему выделенному ИП, такой уровень безопасности их устраивает.
Можно ли заменить постоянный ИП другой защитой, чтобы получить такой же(или выше) уровень безопасности?
Или если я правильно понял, блокировка по ИП существенно не повышает уровень безопасности т.к. для доступа к рабочему месту по мимо логина и пароля требуется еще несколько независимых "ключей"(адреса сервера, данных тоннеля к серверу)?
для доступа к рабочему месту по мимо логина и пароля требуется еще несколько независимых "ключей"(адреса сервера, данных тоннеля к серверу)?
Разумеется!
Можно предоставить "разрешение на подключение (тоннель)" к удалённому серверу как отдельному компу (с этого компа поднимаете соединение VPN, OpenVPN и т.п), так и всей Вашей подсети (в этом случае "тоннель" поднимается шлюзом Вашей сети)
в первом случае - для каждого пользователя генерируются ключи доступа
во втором случае - генерируется один ключ для шлюза, и пользователям не надо поднимать "тоннель" - им только остаётся запустить RDP.
Или если я правильно понял, блокировка по ИП существенно не повышает уровень безопасности т.к. для доступа к рабочему месту по мимо логина и пароля требуется еще несколько независимых "ключей"(адреса сервера, данных тоннеля к серверу)?
поднимаете вмварю (либо любую другую систему виртуализации), на ней виртуальную сетку с межсетевым экраном имеющим выход во вне и внутренним серваком, к которому коннектитесь через тимвивер или впн. внешний доступ к нему обрубаете на уровне виртуального фаервола - и будет у вас фактически небольшая виртуальная лвс
для параноиков, управляете нодой также изнутри инфраструктуры
Рекомендую как доп. защиту сменить стандартный порт RDP (3389).
поднимаете вмварю (либо любую другую систему виртуализации), на ней виртуальную сетку с межсетевым экраном имеющим выход во вне и внутренним серваком, к которому коннектитесь через тимвивер или впн. внешний доступ к нему обрубаете на уровне виртуального фаервола - и будет у вас фактически небольшая виртуальная лвс
для параноиков, управляете нодой также изнутри инфраструктуры
Два чая этому автору. RDP, к слову, в последних версиях предусматривает шифрование трафика.
Могу предложить упрощенный вариант этой схемы:
Промежуточный сервер - виртуалка у какого-нибудь хостера, поднимаем openvpn сервер, делаем два сертификата, отправляем один на рабочую станцию, один оставляем себе
Рабочая станция (любая машина, где угодно, будь-то физический комп или виртуалка) - поднимаем на ней openvpn client, подключаемся по ранее выписанному сертификату
Вы - устанавливаем openvpn client, подбрасываем ему сертификат, подключаемся. коннект по RDP делаем непосредственно к IP рабочей станции внутри openvpn.
Плюсы этого способа:
Рабочая станция не светит портами в сеть, не светит ip, вероятность взлома сводится к нулю
Минусы:
если хостер дурачок, он сможет выписать себе пару сертификатов внутри вашей виртуалки, и подключиться к вашей сети. Поэтому тут стоит для RDP сделать хорошую аутентификацию, либо нарастить дополнительные уровни защиты.
Можно сделать тоже самое, убрав шлюз посередине, но тогда ваша станция начнет светить как минимум openvpn портом. Но убирается вероятность проникновения умалишенного хостера)
P.S. но иногда второй способ не катит, например, если у вас провайдер пробрасывает внутрь ната, и не дает открывать порты.
P.S.S. ради интереса я анализировал трафик между RDP <openvpn> CLIENT и ничего "интересного", кроме шифрованного потока не находил.