iT邦幫忙

0

RDS遠端連線系統架構安全性請教

各位好~小弟服務的公司目前有遠端作業的需求
以前於其他公司服務時架設的方式是:(無防火牆,使用分享器開映對埠)
遠端使用者 -> 遠端連線主機 -> ERP主機 (此種方式安全性不足,主機有被攻擊過)

使用者是浮動IP,可否建議安全的架設方式?
目前想法是:
1.遠端使用者 -> 遠端連線主機 -> ERP主機 (維持原狀)
2.遠端使用者 -> VMware虛擬主機做映像還原 -> ERP主機 (測試後使用者反映效能不佳)

不知還有沒有其他可供參考的架設方式?
感謝各位先進指導

最沒有用的方法, 改遠端連主機的PORT, 不要用預設的3389
shock555 iT邦新手 5 級 ‧ 2019-10-07 16:36:45 檢舉
感謝提供, 這方式我有爬文可以從登錄檔修改,只防君子不防小人,不過網路世界好像也都是這樣XD
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
zero
iT邦好手 1 級 ‧ 2019-10-07 14:22:08
最佳解答

遠端使用者 -> VPN 取得內部IP -> 遠端連線主機 -> ERP主機

這應該是最簡單的,VPN有很多網路設備可以提供服務,相關安全性設定選擇也多

看要走SSL還是IPSec,至於遠端連線主機,回歸內部網路服務,將對外服務關閉

使用人數少的話還是直接轉成 遠端使用者 -> VPN 取得內部IP -> ERP主機

已RDS來說,除非要傳大檔案或者同時使用人數太多,不然VPN給的頻寬一般都足夠使用

看更多先前的回應...收起先前的回應...

遠端使用者 -> VPN 取得內部IP -> 遠端連線主機 -> ERP主機

我們公司目前就是這樣的規劃

古早時申請頻寬很貴,而且當時用的軟體,架構根本就有問題,往往撈個資料要等好久好久,不是單純頻寬的問題而已,連他們的資料庫設計都有問題。

現在只要兩端各申請一線種花光世代100M以上6固I,就可以用在上網、VoIP、視訊、遠端監控,當然,我們的Router上有設定使用VPN,這樣的架構就不曾有過問題了。

對了,我們公司的同事們都不習慣使用虛擬主機,而且我們之前也遇到過虛擬主機使用上有點小問題,所以現在都沒有在用了。

shock555 iT邦新手 5 級 ‧ 2019-10-07 16:44:51 檢舉

感謝兩位大大提供,想請教一下,如果透過VPN,需要另架伺服器嗎?或是從軟體操作?目前大約是7個USER會有外點需求但並不是同時使用
另外VPN連線後是否等同內部網路,可以存取內部環境的資料?
那這樣遠端主機還有必要存在嗎?
不好意思因為網路的延伸應用不是很熟,謝謝

https://ithelp.ithome.com.tw/upload/images/20191007/20104563BI5rl3wSYQ.png

只要申請好固定IP網路 (我們是用光世代),然後在Router上設定兩端的固定IP即可使用

VPN連線後是否等同內部網路
Virtual Private Network = 虛擬私人網路,所以可以存取內部資料,但我並沒有讓公司的兩端做這樣的存取,只有我自己在管理上有使用到,其他所有人都在兩端各自作業。

zero iT邦好手 1 級 ‧ 2019-10-08 14:07:36 檢舉

VPN連線後,拿到的IP就等於是內部網路了,所以我才強調將安全性直接作用在VPN的上頭,至於內部網路那些網段可以互通也是安全性規劃的一種,RDP的漏洞就是提醒你別讓該主機可以直接從網外對內連線,RDP的安全性請建立在帳戶與接收請求的網段上

0
mytiny
iT邦超人 1 級 ‧ 2019-10-07 18:09:07

以下資訊提供給樓主
Windows 10 RDP漏洞可讓駭客綁架連線
行政院資通安全技服中心大規模Windows RDP漏洞掃描行動現蹤
行政院資通安全技服中心微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708)
以上隨便網路搜尋找就有了,看了還敢用嗎?

所以,請千萬不要將主機開放給遠端RDP
只能開放給內網IP連線公司的ERP
(如何只用內網,用VPN+帳密orBYOD)
然後,內網記得主機要分隔網段
連通時必需有安全檢核(防毒、防入侵)

很基本的網路安全概念
如果沒有做,請盡快檢討

0
hsiang11
iT邦好手 1 級 ‧ 2019-10-08 00:22:58

先考慮你家ERP的架構和網路規劃有沒有問題在談下一步
台灣某大廠的ERP都還有分出兩層式和三層式架構
兩層式就是使用者就直接ERP 有些公司就為了省錢導入了兩層式架構
連DB port都直接對外開放了
那就算多開個其他風險也沒啥差了

另外加遠端主機的做法是可以 雖然現在開始連RDP都不安全了
不過還是要把ERP的防火牆擋好縮小風險比較好

我要發表回答

立即登入回答