Tengo dos contratistas que necesitan acceso a nuestra aplicación SQL LOB. Se conectarán vía VPN a un enrutador que se autentica vía RADIUS en el DC. Ahora, los dos servidores en cuestión son DC. Los usuarios creados son miembros del grupo de seguridad: usuarios de VPN. Los únicos derechos de seguridad asociados a este grupo son el acceso telefónico.
Sobre el papel, esto debería ser sencillo. El problema es que quizás el 75% de los permisos compartidos en estos servidores incluyen acceso completo para usuarios autenticados. No preguntes por qué y no, no hay posibilidad de corregir esto en este momento.
SQL vive en DC2, pero la configuración de ODBC en el software del cliente elimina cualquier necesidad de autenticación de dominio. Entonces, todo lo que necesito es evitar que estos usuarios de VPN naveguen por la red en busca de recursos compartidos y accedan a ellos.
Intenté configurar "Denegar acceso desde la red" en la Política de seguridad de DC, pero aparentemente esto no ayudó.
Para información: Ambos servidores son W2003 SP2 Standard. Los clientes utilizarán XP/Vista.
tia
Respuesta1
¿Quizás agregarlas a las reglas de seguridad en las unidades donde se encuentran los recursos compartidos en los servidores? Las reglas de denegación siempre anulan cualquier regla basada en permisos.
Respuesta2
¿Alguna posibilidad de terminar la VPN en una DMZ en lugar de en la LAN? Si es así, entonces podría perforar un agujero a través de DMZ -> LAN en el puerto 1433 a su servidor SQL.
Si fuera yo, no querría en la red de mi empresa a nadie cuya computadora no sea mantenida por mi empresa. De ahí la razón para ponerlos en su propia zona desmilitarizada. ¿Qué pasa si contraen un virus o son parte de una red de spambot y comienzan a enviar spam a través del túnel VPN de su conexión a Internet? Hay muchos escenarios aterradores para una persona paranoica. :-)
Respuesta3
¿Hacer que su solución VPN solo permita el paso del puerto SQL?
Respuesta4
Gracias a todos. El único método que pude emplear fue emitir derechos de denegación sobre todas las acciones para este usuario. Un poco doloroso, pero no hubo tiempo para reinventar la rueda, por así decirlo.