우리는 현재 Windows 방화벽에서 IP 화이트리스트를 사용하여 특정 컴퓨터만 우리 서버의 원격 데스크톱에 액세스할 수 있도록 허용하고 있습니다. 안타깝게도 이제 새로운 ISP가 생겼고 외부 IP 주소가 매주 변경되기 시작했습니다. Windows 방화벽의 IP 화이트리스트 대신 사용할 수 있는 쉬운 대안이 있습니까?
답변1
서버를 인터넷에 직접 연결하지 않는 것이 좋습니다. 요즘 Windows 방화벽이 훌륭하기 때문에 시스템의 무결성과 인바운드 연결이 있는 모든 항목에 대한 위험이 발생할 수 있습니다. Nessus 및 Metasploit과 같은 도구는 익스플로잇 식별 및 배포의 복잡성을 완전히 제거했습니다.
일종의 SSL VPN을 구현하고 이를 통해 RDP 트래픽을 프록시하는 것을 고려해 보겠습니다. 그런 다음 SSL VPN 엔드포인트는 인증/엔드포인트 규정 준수 확인 및 교정 작업까지 수행할 수 있습니다.
죄송합니다. 요즘 댓글을 추가할 수 없어서 여기에 댓글을 태그해야 합니다.
HTTP(S) 트래픽의 경우에도 일종의 제3자(비호스트) 방화벽을 권장합니다. 그 이유는 호스트 방화벽이 손상되면 서버도 손상되기 때문입니다. 저는 보안 예산이 존재하는 대규모 엔터프라이즈 배포에 익숙하므로 SOHO 스타일 장치를 찾아야 한다는 점을 인정해야 합니다.
답변2
나는 위의 Simon의 의견에 동의합니다. 살펴볼 수 있는 또 다른 옵션은 다음과 같습니다.PhoneFactor. 최대 25명의 사용자까지 무료라고 생각합니다.
에이전트는 서버에서 실행되며 백엔드 인증을 위해 Active Directory/LDAP/로컬 사용자와 작업할 수 있습니다. 전화번호를 구성하고 음성 통화 또는 SMS 메시지를 받을지 선택하기만 하면 됩니다. 추가 PIN은 선택 사항입니다. 에이전트는 로그온 프로세스에 연결되고 사용자 이름 및 비밀번호 인증 후 에이전트는 PhoneFactor에 집으로 전화하여 콜백 확인 프로세스를 시작합니다. 로그온이 "멈추고" 통화가 완료될 때까지 기다리며 일반적으로 15초 후에 로그인하므로 시간 초과 문제가 발생한 적이 없습니다.
에이전트 설정에서 사용자 계정에 PIN 옵션을 추가하면 두 가지 "알고 있는 것" 요구 사항(관리자 계정을 비활성화하고 고유 계정을 생성하는 경우 4개)이 있으므로 기본적으로 3단계 인증을 받게 됩니다. 자신의 관리자): 로컬 사용자 비밀번호 및 PhoneFactor PIN 세 번째 요소는 "당신이 가지고 있는 것", 즉 휴대폰입니다.
훌륭하게 작동합니다. 아웃바운드 VPN이 문제가 될 수 있는 장소에 자주 있기 때문에 터미널 서버에 이를 사용합니다.
답변3
질문을 올바르게 읽고 있다면 ISP가 DHCP를 통해 집이나 셀룰러 모뎀과 같은 최종 사용자 계정에 할당하는 다양한 IP의 상자를 원격으로 관리해야 하며 귀하의 모든 IP를 화이트리스트에 추가할 수는 없습니다. 방화벽에서 연결하고 있는 것 같나요?
우리도 동일한 문제가 있었고 상당히 관리 가능한 수의 서버를 갖춘 이동 관리자를 위해 고정 IP를 정의할 수 없었습니다.
- 승인된 원격 관리자에게 배포할 원격 데스크톱 초대를 만들었습니다.
- 3389의 청취 포트를 다른 잘 알려지지 않은 다른 포트로 수정했지만 반드시 오류 방지는 아닙니다(시스템 보안에서는 오류 방지가 불가능함). 서버 버전에 따라 서버 레지스트리에서 포트를 수정해야 했습니다.http://support.microsoft.com/kb/187623
서비스 구성
notepad.exe %systemroot%\system32\drivers\etc\services
이 방법을 사용하면 미리 정의된 이동 관리자가 원격 위치로 이동하여 필요한 순간에 시스템을 원격으로 관리할 수 있었습니다.