Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 осуществление связи дом-работа  [new]
seeerg_23
Member

Откуда:
Сообщений: 1102
уважаемые сисадмины! необходимо создать связь из дома с компом на работе. Должен быть доступ к РАДМИНу либо УДАЛЁННОМУ РАБОЧЕМУ СТОЛУ. Чтобы я из дома радмином либо удалённым рабочим столом подключался к компу на работе, а не бежал в самую рань или поздно вечером....
1.Хотел сначала с помощью ВайФай. Но расстояние около 1 км да и всякие дома (9эт), деревья будут мешать, короче местность не открытая.
2. Есть вариант с помошью 2 модемов, не выходя в интернет. Из домашнего модема звоню напрямую на рабочий модем. (о таком варианте только слышал).
3. Есть вариант через интернет связываться.
Ни один вариант не пробовал. Расскажите, плз подробнее, кто как делал?? у кого как работает?? Хочу в ближайшее время так сделать. Расскажите, какие команды нужно использовать?? какие программы должны стоять?? как подключаться?? ну и всё такое поподробнее плз!!!
1 сен 07, 18:18    [4609271]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
miksoft
Member

Откуда:
Сообщений: 38555
На первый вариант, не имея опыта, даже не заморачивайся.

Второй вариант вполне возможен, всего-то делов настроить входящее соединение на работе. Правда, нужен выделенный телефонный номер или общий телефонный номер с донабором внутреннего номера.

Третий вариант универсальнее и, возможно, даст большую скорость. Зато и несколько сложнее. Надо настроить VPN-соединение. Если есть хотя бы минимальный опыт в сетях, то рекомендую OpenVPN. Вроде как-то в виндах можно настроить PPTP-соединение, но как - не подскажу.
1 сен 07, 19:42    [4609339]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
seeerg_23
Member

Откуда:
Сообщений: 1102
тогда про вариант 2 расскажите подробнее, плз. Какой номер нужен?? как дозваниваться на работу?? выделенный номер - это какой, городской номер никем незанятый?? а общий номер с донабором внутр это как?? у нас внутр связь есть и городские номера!! как настроить входящее соединение на работе??
1 сен 07, 19:53    [4609345]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
miksoft
Member

Откуда:
Сообщений: 38555
seeerg_23
тогда про вариант 2 расскажите подробнее, плз. Какой номер нужен?? как дозваниваться на работу?? выделенный номер - это какой, городской номер никем незанятый?? а общий номер с донабором внутр это как?? у нас внутр связь есть и городские номера!! как настроить входящее соединение на работе??
С номерами возможны два варианта:
1) Выделенный номер - как дома, модем присоединен к телефонной линии, которая идет от городской телефонной сети. Минус в том, что расходуется телефонный номер, который иногда может недешево стоить.
2) Общий с донабором - используется телефонная линия от внутренней АТС. На внутренней АТС одну из входящих линий (городских номеров. лучше, если это будет многоканальный телефон, чтобы своим звонком не мешать другим) настраивают DISA - донабор внутреннего номера. Процес звонка на такой номер выглядит так - набираете дома городской номер, ваша внутренняя АТС поднимает трубку и начинает проигрывать приветствие, вы донабираете в тоновом режиме внутренний номер и звон попадает на ваш модем на работе. Минус в том, что требуется АТС, которая поддерживает механизм DISA.
1 сен 07, 20:19    [4609375]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
rrrrrrrrrr
Member

Откуда: РТ
Сообщений: 6366
а контора у вас не круглосуточно в сети (в смысле выделенки)? Если да, то удаленного рабочего стола хватит...
1 сен 07, 22:58    [4609593]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
miksoft
Member

Откуда:
Сообщений: 38555
rrrrrrrrrr
а контора у вас не круглосуточно в сети (в смысле выделенки)? Если да, то удаленного рабочего стола хватит...
вряд ли вменяемый админ выставит виндовый рабочий стол в интернет без какого либо варианта VPN-а.
2 сен 07, 18:48    [4610366]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
rrrrrrrrrr
Member

Откуда: РТ
Сообщений: 6366
почему нет? ну можно порт перевесить повыше. Имея доступ к окну с запросм пароля много не сделаешь
2 сен 07, 20:39    [4610492]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
rrrrrrrrrr
Member

Откуда: РТ
Сообщений: 6366
а базового шифрования RDP-трафика вполне достаточно...
2 сен 07, 20:41    [4610496]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
rrrrrrrrrr
а базового шифрования RDP-трафика вполне достаточно...

гуглимся по "MITM"
2 сен 07, 22:04    [4610555]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
rrrrrrrrrr
Member

Откуда: РТ
Сообщений: 6366
ага, есть такое:
http://www.xakep.ru/post/26861/default.asp
но:
1) нужен предварительный arp или dns-спуфинг (это снимает угрозу попадания на робота, который тупо сканит инет и ломает всех подряд). Атака если будет, то "персональная"
2) атака должна производиться в то время, когда идет сеанс связи, точнее, надо перехватить его с самого начала.
Оба пункта вместе = спуфить надо постоянно либо в те часы, когда есть вероятность, что по RDP полезут на сервер. Это тяжко, т.к. надо еще и не засыпаться.

Далее. Технология атаки предполагает, что надо эмулировать клиента для сервера и сервера для клиента. Т.е., полноценный транслятор терминального трафика. Ладно, допустим, таковой создан (завтра поищу).

Согласен, что есть вероятность. Но в этом плане скорее должен волновать вопрос о других протоколах, скажем, POP3/IMAP. Тут атакующий сольет себе все вместе с паролями. Т.е., другими словами, в отношении MITM-атак RDP-протокол не более уязвим, чем тот же POP3.
Еще: хорошо, пусть все серьезно. RDP внутри сети вы тоже по защищенным каналам пустите? Просто если сеть серьезная, то угроза там точно такая же, а спуфинг реализовать легче.

Кроме того, пустить через себя RDP-трафик - еще не все. Надо его распотрошить.

Т.е. RDP можно считать условно защищенным, если повесить порт в верхний диапазон и организовать блокирование хостов при попытке сканирования портов.

На практике в общем случае альтернативы не вижу, т.к. есть еще необходимость врубать в сеть мобильных клиентов с gprs, а там gre-пакеты VPN'а режутся + трафик становится умопомрачительным.

Я к чему все это: ага, протокол уязвим. Но если принимать всерьез эту уязвимость, то надо завинчивать гайки по-полной, т.е. тогда уж и за другие протоколы браться. Т.е. взлом по RDP требует некоторых инвестиций, размер которых заставляет задуматься о более простых способах.
2 сен 07, 23:18    [4610634]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
:)
да ессно "волков не бояться - в лес не ходить"
но пусть уж аффтор буит в курсе, ему виднее какие риски допустимы ...

зы: в серьёзной локалке хак организовать сложнее, тк админ в таковой по-определению дб серьёзный и следы скрыть сложнее ;)
3 сен 07, 07:05    [4610784]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
Sergey Orlov
Member

Откуда: СПб
Сообщений: 4445
Не забывайте, что можно еще на w2k3 врубить политику IPSEC на опреленный порт, а уж как вы будете шифровать в IPSEC это ваше дело...
3 сен 07, 09:26    [4610960]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 51813

miksoft
вряд ли вменяемый админ

Еще с меньшей вероятностью вменяемый админ позволит простому юзеру
выставить наружу модем, принимающий звонки.

Posted via ActualForum NNTP Server 1.4

3 сен 07, 11:41    [4611718]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
rrrrrrrrrr
Member

Откуда: РТ
Сообщений: 6366
автор вроде как и есть админ.
имхо самое простое - удаленный рабочий стол (ну, если можете себе позволить VPN - замечательно) или radmin. Если страшно - ставить защиту от спуфинга и/или порт прятать+защита от скана. Если подрубаетесь с конкретного и заведомо постоянного ip - поставьте ограничение по ip, воспользуйтесь ipsec.
Кстати, насчет MITM'а - хм, при использовании телефонной сети веселья может быть больше.
3 сен 07, 13:33    [4612515]     Ответить | Цитировать Сообщить модератору
 Re: осуществление связи дом-работа  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
автор
автор вроде как и есть админ.

Или таким себя считает.
3 сен 07, 14:43    [4613048]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить