Защита терминального доступа.

exo · Конфигурация компьютера

Цитата dascon:

следовательно, в данном случе нет смысла в 6-ом. Соединение все равно по 5.2 проходит. »

в книге от 2008 года по 70-290 написанно - что лучше обновить клиент, и будет безопаснее.

dascon · Отправлено: **13:13, 24-09-2008** | #32

Вопрос: почему/чем соединение сервера терминалов на Win2k3 (RDP5.2) c клиентом RDP6.x безопаснее, чем с клиентом RDP5.2?
Ответ:

Цитата:

в книге от 2008 года по 70-290 написанно - что лучше обновить клиент, и будет безопаснее

не подходит

. Нужны пояснения и объяснения.

kim-aa · Конфигурация компьютера

Цитата exo:

Но из-за уязвимости " man-in-the-middle vulnerability " в версиях ранее 6.0 , »

Вай-вей. В переводе на язык родных осин это значит что протокол RDP, не имеет встроенных средств аутентификации сервера. Т. е. если какой-либо злыдень подсунет свой сервер вместо оригинального, и будет пересылать трафик на оригинальный, то по запросам-ответам можно расшифровать ключ сессии и соответственно данного пользователя.

Хочу огорчить, большая часть протоколов имеют такую уязвимость. В том числе и сети Windows.

Правдо в реальном мире такая уязвимость достаточно условна, т.к. сервер "подсовывать" тяжеловато.

Oleg Krylov · Отправлено: **14:04, 24-09-2008** | #34

zet2, не встретил в теме вопроса, у вас сервер напрямую мордой в интернет смотрит? Или есть какое-то защищающее приложение? (Встроенный файрволл Windows можете не упоминать даже.) Если есть, то какое? Или это железка?

exo · Конфигурация компьютера

Цитата Oleg Krylov:

(Встроенный файрволл Windows можете не упоминать даже.) »

а чем он плох?

Oleg Krylov · Отправлено: **15:32, 24-09-2008** | #36

А чем хорош? Особенно для сети масштаба предприятия? Дарвин такое называл естественным отбором...

exo · Конфигурация компьютера

Oleg Krylov, т.е. вы считаете если им закрыть все IP кроме 2-3 (это конечно не масштаб предприятия) для администрирования - то этого не хватит?

Oleg Krylov · Отправлено: **16:30, 24-09-2008** | #38

На мой взгляд, в масштабах предприятия ставится серьезный продукт в качестве корпоративного файрволла, например MS ISA 2006. Который с легкостью зарежет на уровне аутентификации. Т.е. проблемы будут не в адресации, а в логоне.
Тут конечно возможны варианты, но я обычно вообще не публикую RDP во внешние сети. Для этого есть VPN, а сейчас еще и TSGateway. Но это только мое мнение.

exo · Конфигурация компьютера

Цитата Oleg Krylov:

Который с легкостью зарежет на уровне аутентификации. »

но ведь можно и раньше зарезать... темже VPN-ом.

Oleg Krylov · Отправлено: **16:53, 24-09-2008** | #40

Можно, просто смысл сводится к необходимости вырастать из штанишек 30-машинных админов. И доступность RDP снаружи яркий тому показатель.