VPN su server web win2003 o solo IPSEC ????
EvolutionLab
possiate essermi d'aiuto!
Mi spiego, sto installando un server web con windows 2003 Enterprise
edition x64 che sarà piazzato in una server farm esterna.
Per poterlo gestire da remoto utilizzo Remote desktop connection.
Purtroppo per adesso non posso utilizzare un firewall esterno, quindi
ho protetto l'amministrazione in questo modo:
- Ho installato e configurato il servizio Routing and remote access con
gli opportuni filtri di traffico in ingresso e uscita
- Tramite questo servizio ho settato una VPN (per adesso senza
certificato ma con preshared key)
- Ho consentito l'accesso alla porta 3389 (RDC) solo dall'accesso VPN.
- Tramite i filtri IPSEC ho consentito il traffico sulla la porta TCP
della VPN (1723) solo alle comunicazione autenticate
con una Preshared key e chiuso tutte le porte inutili al server (gli
stessi filtri che ho settato in Routing and remote Access)
- Ho configurato i filtri IPSEC del mio client per comunicare con la
porta VPN del server tramite la stessa Preshared key
Quindi adesso ho la protezione di VPN + Autentificazione IPSEC
per accedere al server tramite Remote Desktop Connection.
Tutto funziona perfettamente.
La mia domanda è:
Questa procedura è troppo cervellotica e rischia di appesantire il
server o rallentare il traffico?
E' pericoloso gestire il traffico sulla scheda di rete tramite il
servizio Routing and remote access su un web server?
Secondo voi è meglio proteggere con autentificazione IPSEC
direttamente la porta di remote desktop connection e configurare
il mio client per comunicarci e lasciare perdere la VPN con il servizio
Routing and Remote Access?
Per favore non rispondetemi di utilizzare un firewall esterno perchè
in questo momento non posso, lo stesso vale per le preshared key,
verranno sostituite da dei certificati....
Grazie e ciao a tuttiiiii!!!!!
Lamberti Mario [MVP]
Personalmente anche con il firewall manterrei la VPN per utilizzare il
Remote Desktop e non renderei direttamente pubblico il server tramite Remote
Desktop. Aggiungendo un servizio (RRAS) ovviamente consumi più risorse di
sistema ma se non hai alternative ti conviene mantenerlo finchè non
comprerai un firewall per poi spostare le VPN sul nuovo firewall.
(Info) Un'altra possibilità con il Service Pack 1 di Win 2k3 è quella di
usare TLS per la connessione ai servizi Terminal (richiede i certificati)
http://support.microsoft.com/default.aspx?scid=kb;en-us;895433
Ciao
EvolutionLab
più...managg!
Ora mi tocca andare in server farm a correggere!
Per chi volesse mandarmi un pò di spam a questo indirizzo farebbe cosa
graditissima:
sp...@evolutionlab.it