Архив форумов ЦИТФорума

[alex85]

ВПН пользователь заходит через ВПН чтобы управлять им эрадмином по инету, у него айпи своего нет , поэтому он подключается в домен а не мы к нему.
В принципе представляю как урезать права, но хотелось бы в краце от спецов услышать какие политики примерно стоило бы применить. Всетаки чужой далекий пользователь в твоей сети , тут поокуратнее надо.

[And]

А VPN по средством чего создается? Т.е. ISA сервер, RAS или еще чего. Можно после аутентификации отрубить пользователю весь трафик кроме RAdmin. В 2003 сервере есть возможность использовать какнтин сеть. Пока пользователь не пройдет определенную проверку вообще курить бамбук будет. Еще, учетку ему можно сделать локальную, а не в домене.

[alex85]

Win Server 2003, он DC , еще и сервер VPN на нем поднят виндовый встроенный, через него и подключение. Вообще интересно насчет только Эрадминный трафик разрешить после подключения. Это через что делается подробнее?
Вообще изначально хотели просто доступ ему к ресурсам не довать и все. но там же еще всякие тонкости хаккерские наверно стоит пресеч в политиках. или в 2003 и изначально все настолько неплохо как MS пишет? Щас вот VPN юзера в отдельное подразделение в AD поместил.

[And]

C Windows2003 RAS еще толком не разбирался. Знаю, что это можно сделать (отрезать определенные протоколы) с помощью ISA сервера. Лучше если версия ISA будет 2004. По поводу контроллера AD это вы офигенную дыру делаете. Microsoft для компьютера с межсетевым экраном вообще рекомендует не вводить его в домен и использовать аутентификацию через Radius сервер. На сервере есть фозможность включить IP фильтрацию, но на сколько я помню она будет действовать на все сетевые подключения этого сервера. Хотя в 2003 может и не так, надо проверять. Собери отдельную тачку, поставь ISA 2004 и будет тебе счастье. Сдается мне, что и внутренние пользователи ходят через этот сервер в инет. Тоже очень плохо. Не дай бог на вашем DNS сервере разрешена передача зон кому угодно, то народ из инета сможет вообще узнать всю вашу структуру AD, что само по себе хреново. Я уже не говорю про всевозможные атаки на DNS, неправильные IP пакеты и прочие хакерские вещи. Короче, мой совет, в любом случае ставь отдельный межсетевой экран с 2-мя сетевухами и пускай в интернет через него народ.

[alex85]

Шлюз в инет у нас юниксовый с двумя сетевухами ( до меня ставили, я б не потянул пока)), там экраны, фильтры на нем все как положено. а DC отдельным сервером стоит 2003 (он же ВПН, и некоторые ресурсы там и еще что-то).

Вообще как тогда получается, от шлюза-юникса к 2003 серву ВПН идет шифрованный ВПН-трафик, который тут пока безвреден, т к он шифрованный. На серве-ВПН ВПН-юзеру присваивается статический АйПи (чтоб эрадмином проще лазить), а уже от ВПН-серва во внутреннюю сеть идет трафик этого ВПН-юзера с с тем sourceIP, который ему дал ВПН-Серв. Я надеюсь правильно понимаю весь механизм?

Если правильно, что насчет такого варианта: сделать такую маршрутизацию (на самом DC или на коммутаторе или ISA), чтоб пакеты с source IP этого ВПН-юзера (того IP что ВПН-серв ему дал) только на несколько станций шли, на те, что удаленно клиентов обслуживают?

Тут вопрос у меня такой: пакеты от станций , адресованные по IP ВПН-Юзеру должен ловить ВПН-серв, шифровать и перенаправлять в ИНЕТ.
Вопрос: как эти пакеты ВПН-Серв ловит если у них destntion АЙпи, тот, что ВПН-Юзеру присвоили насильно в нашей локали? этим что вообще управляет, и можно ли такие покеты обычным образом отфильтровать внутри сетки по признаку source и dest IP? или эти покеты имеют какуюто необычную структуру?

Годится ли такой вариант? В чем его недостатки? Правильно я вобще схему работы ВПН во внутренней сети понял?