Forum

Güvenli Uzak M...
 
Bildirimler
Hepsini Temizle

Güvenli Uzak Masaüstü Bağlantısı

10 Yazılar
2 Üyeler
0 Reactions
1,904 Görüntüleme
(@CaglarCinar)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

Merhabalar,

Ofisimde aşağıdaki şemada gösterdiğim şekilde bir ağım var.

Değişken zamanlarda, lokal ağımdaki muhasebe programımın bulunduğu, Standart Server 2008 yüklü sunucuma hem benim hem de muhasebecimin internet üzerinden uzak masaüstü bağlantısı kurmamız gerekmekte.

Bunu güvenli bir şekilde gerçekleştirmek için RDP bağlantısını modem üzerinde 3389’den farklı bir porta yönlendirdim. Bu şekilde ADSL modemimin global IP’si ve yeni RDP portuyla sunucuma bağlanmaktayım.

Uzaktan bağlantı gerçekleştirdiğim noktaların statik IP’ye sahip olmaması, ADSL modemimin firewall’unu ilgili RDP portu için sadece kendi remote statik IP’imden gelen isteklere cevap verecek şekilde ayarlamamı engellemekte. Dolayısıyla sunucumu, firewall’um üzerinde herhangi bir IP kısıtlama sağlamadan global ağda gelen bağlantı isteklerine açmak ben de kuşku yaratmakta.

Sormak istediğim şey, bu şekilde çalışmamın gerçekten şüphe ettiğim kadar riskli olup olmadığı? Yani RDP portumu değiştirmiş olsam da global IP’min herhangi bir port scan aracı ile taranması durumunda ilgili port açığa çıkmış olacaktır. Dolayısıyla global’den herhangi bir kullanıcı sunucumun uzak bağlantı ekranına kadar gelecektir.

Güvenli uzak masaüstü bağlantısı için yapılabileceklerle ilgili Çözüm Park’ta farklı makaleler okudum ancak, benim bunları uygulayabilirliğim ile ilgili sıkıntılarım var.

Örneğin Fatih hocanın güzel makalesi: http://www.cozumpark.com/blogs/windows_server/archive/2008/11/02/windows-server-2008-terminal-services-gateway-b-l-m-1-w2008-ts-gateway-ncesi.aspx

Bu makaledeki şekilde ağımı yapılandırabilmek için sanırım bir sunucuya (TS Gateway) daha ihtiyacım var. Ancak ekonomik sebeplerden dolayı bunu gerçekleştirmem de pek mümkün gözükmüyor.  Dolayısıyla bunu uygulayamıyorum.

Bir diğer makale ise SSL ile RDP’yi anlatmakta: http://www.petri.co.il/securing_rdp_communications.htm#

Ancak bu makalede anlatılanlar ise kurulmuş olan bir RDP bağlantısının man-in-the-middle’a karşı korunmasını sağlayacaktır, sunucunun bulunabilirliğiyle ilgili bir çözüm olmayacaktır.

Biraz paranoyak mı yaklaşıyorum pek kestiremiyorum. Sadece güvenli bir uzak bağlantı için yapmam gerekenler nelerdir onu öğrenmek istiyorum. Bu konuda yardımcı olursanız çok sevinirim.

İyi çalışmalar.

Uploaded with ImageShack.us

 

 
Gönderildi : 19/03/2011 02:09

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba Çağlar bey,

Her iki yöntemde kullanılabilir ki siz zaten bunları bulmuş durumdasınız. Ancak imkanlarınız yok ise yapmanız gereken tek şey NLA yardımı ile sunucu servis kesintisi ataklarını engellemektir. Bu sayede portunuz bulunsa bile logon ekrenı gelmeyeceği için sorun yaşamayacaksınız.

NLA nedir derseniz bilgi aşağıdak linkte yer almaktadır

http://sozluk.cozumpark.com/goster.aspx?id=847&kelime=Network-Level-Authentication

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 19/03/2011 17:36

(@CaglarCinar)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

Hakan Bey teşekkür ederim,

Anlattığınız şekilde basamakları takip ettiğimde aldığım ekranlar:

 

Yanılmıyorsam şimdi bu son ekrana Gelişmiş'ten (ya da direk tam yazılışlarını biliniyorsa nesne alanınından) sunucuya erişecek olan kullanıcıları atamam gerekecek.

Yine yanılmıyorsam kullanıcılar bu örnekteki SERVER-SERVER konumunda tanımlı hesaplardan biri olmalı.

Yani NLA'nın çalışması için, uzaktan bağlanacak bilgisayar hesabının aynen sunucu üzerinde de açılmış olması gerek değil mi?

Eğer böyle ise, uzaktan bağlanacak bilgisayarın hesap şifresi de sunucu üzerinde tanımlı olması gerekli midir?

 
Gönderildi : 21/03/2011 20:20

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Çağlar bey bu zaten olması gereken bir şey! yani siz NLA olmadan da RDP yapınca o sunucuda tanımlı bir kullanıcı bilgisi ile logon oluyormusunzu ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 21/03/2011 22:38

(@CaglarCinar)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

Yanlış anlaşıldı sanırım. Örnek üzerinden anlatırsam daha anlaşılır olacak.

Normalde bağlantımı yukarıdaki şekildeki gibi, hesap adı xp_pc olan dizüstü bilgisayarımdan, server'ın Administrator hesabına olacak şekilde sağlamaktayım. Kafa karışıklığı yaratan yer ise, NLA için ilgili ekranları takip ettiğimde (Sistem Özellikleri:Uzak:Yalnızca Uzak Masaüstünü Ağ Düzeyinde...) en son Kullanıcı Seç ekranı kalmakta.

Bu ekranda Gelişmişi seçersek Server bilgisayardaki tanımlı tüm hesaplar gözükmekte. Benim buradan anladığım kadarıyla NLA'nın kullanılabilmesi için Client bilgisayarın hesap isminin aynısının Server bilgisayarda da açılmış olması gerekiyor (sunucumda active directory tanımlanmış değil - sanırım karışıklık buradan çıktı). Active directory olmadığı için, NLA'nın çalışması için serverda açacağım hesap adı ve parolasının da client bilgisayardaki ile aynı olması gerekir değil mi?

 
Gönderildi : 22/03/2011 02:15

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Çağlar bey tekrar merhaba,

Laptop üzerinde hangi kullanıcı ile oturum açarsanız açın Ali, Veli, Ahmet veya Mehmet, sonuç olarak siz logon olmak istediğiniz sunucuda ki bir kullanıcı ile kimlik doğrulama yapıyorsunuz, bu nedenle laptop üzerindeki kullanıcı ile aynı kullanıcı adı şifreye gerek yok, NLA sadece kimlik doğrulamayı bir adım öne çekiyor.

özetle, mstsc yazıyorum ardından ip adresi ve enter, bana kimlik bilgisi sorulduğunda sunucu üzerindeki herhangi bir hesap ile logon olurum ve bu hesap ile laptop üzerindeki kullanıcının hiç bir ilişikisi yok ki hatta siz aynı kullanıcıyı laptop üzerinde açsanız bile sizden bu kimlik doğrulama yine istenecektir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/03/2011 02:21

(@CaglarCinar)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

Hakan Bey yardımınız için çok teşekkür ederim, şimdi çalışma prensibini anladım.

İyi çalışmalar dilerim.

 
Gönderildi : 22/03/2011 17:29

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

rica ederiz, iyi çalışmalar.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/03/2011 20:55

(@CaglarCinar)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

Fazladan bilgi olsun, bugün okuduğum makaleye göre:

NLA desteği için XP kullanıcılarının yapması gereken bir şey var daha var. SP3 ile CredSSP kapalı olarak geliyor. Bunu açmaları gerekiyor. Microsoft'un aşağıdaki linkindeki support sayfası gayet yardımcı oldu. İlgili aracı yükleyip çalıştırmaları yeterli.

http://support.microsoft.com/kb/951608/

 

 
Gönderildi : 22/03/2011 23:40

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Bilgi için teşekkür ederiz

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/03/2011 01:34

Paylaş: