Citrix, домен, доступ снаружи

[_DimON_]

Господа, есть следующая задача.
Есть сервер с Citrix MetaFrame. Сервер входит в домен. Сейчас возникла задача дасть доступ к нему снаружи из интернета.
Самый простой вариант это сделать port forward на ISA-сервере, который делит у нас локалку, DMZ и интернет.
Отдел внедрения, который отвечает за Citrix, считает, протоколы Citrix'а и собственно Citrix, развернутый на Win2003 Standart, достаточно защищены и можно обойтись пробросом портов.
Я, в свою очередь, считаю, что Citrix должен быть связан с VPN-сервером в DMZ, принимающим подключения для удаленников, а не смотреть сразу наружу.

Кто что сможет посоветовать по этому моменту? Не хочется светить наружу сервер, входящий в домен.

PS. Если топик не в той теме, то перенесите в более подходящую...

[and3008]

Все диктуется правилами безопасности вашего предприятия. Если у вас принято логировать входы в вашу сеть извне, вы имеете утвержденную стратегию безопасности, назначены ответственные за заведение/удаление логинов, чтения логов, разбора полетов, то да, ваш выбор VPN в DMZ.

Если вашему руководству по фигу на безопасность и стратегия безопасности сводится к "сделай что-нибудь лишь бы работало", то на фига вам напрягаться? Вместо разворачивания инфраструктуры VPN и выстраивания сети под утвержденные правила, можете посвятить это время игре в любимую игрушку из серии Office Killer. Ваша совесть чиста.

[_DimON_]

Все диктуется правилами безопасности вашего предприятия. Если у вас принято логировать входы в вашу сеть извне, вы имеете утвержденную стратегию безопасности, назначены ответственные за заведение/удаление логинов, чтения логов, разбора полетов, то да, ваш выбор VPN в DMZ.

Если вашему руководству по фигу на безопасность и стратегия безопасности сводится к "сделай что-нибудь лишь бы работало", то на фига вам напрягаться? Вместо разворачивания инфраструктуры VPN и выстраивания сети под утвержденные правила, можете посвятить это время игре в любимую игрушку из серии Office Killer. Ваша совесть чиста.

Дело в том, что я, как админ, хочу сделать это грамотно и последнее слово, если не будет волевого - "хочу", за мной.

А Office Killer не люблю. Лучше сюда заглянуть, почитать что полезное или добраться до файлика "To-Do на случай не озадаченности.txt"

[and3008]

Лучшее - худший враг хорошего.
А степень безопасности обратно зависима от удобства использования.

Да, по всем книжкам будут безусловно рекомендовать DMZ и VPN. Но в более грамотных книжках сперва рекомендуют оценить риски и затраты на их минимизацию. Золотую середину искать вам. А 100% верного ответа в данном случае нет. В той или иной мере правы обе стороны.

[Stranger03]

"_DimON_"
Ну и от себя бы добавил. Легкость управления обратно пропорциональна количеству фич, применяемых при построении системы. В случае если вы просто пробрасываете один порт наружу (причем вы можете спокойно внешний порт указать другой для защиты от скана портов), это далеко не означает открывать всю сеть АД.
Я бы еще предложил другой вариант, коннектится по https через веб на какой-нибудь странный порт.

[v.mikhailov]

VPN в DMZ выглядит наиболее правильным решением.

У Citrix есть ПО Access Gateway, по сути это и есть VPN через https. Вендор рекомендует его ставить внутри DMZ прокинув к нему 443 порт. Именно это решение наиболее безопасно

[Stranger03]

Вендор рекомендует его ставить внутри DMZ прокинув к нему 443 порт. Именно это решение наиболее безопасно

Для пущей безопасности (для защиты от сканеров) порт 443 можно заменить на любой выше 1024. Нечто типа 8080.

[and3008]

Правильно запущенный nmap позволяет за 5 минут получить всю инфу о сервисах, которые предоставляет комп.

Не вижу никакого великого смысла переносить службы на нестандартные порты, если они не конфликтуют с уже имеющимися сервисами.

[Stranger03]

Правильно запущенный nmap позволяет за 5 минут получить всю инфу о сервисах, которые предоставляет комп.

Не вижу никакого великого смысла переносить службы на нестандартные порты, если они не конфликтуют с уже имеющимися сервисами.

Это будет целенаправленный скан конкрентного айпи, как правило в инете боты сканируют не весь диапазон, а конкрентный до 1024 порта, где собс-но висят штатные сервисы. А переброс сервиса на 65ххх порт позволит как раз защититься от ботов.

[and3008]

как правило в инете боты сканируют не весь диапазон

Как правило это далеко не всегда так. Уже несколько лет Интернет штормит самыми разнообразными затейниками. Дело усугубляется тем, что как правило зараженная машина впоследствии становится частью Зомби-сети. Я имею нескольких клиентов, которые попадали на это. Причина банальна. Они не ставили патчи и держали сервисы на нестандартных портах. Типа "Ну работало же 5 лет"!

[Stranger03]

"and3008"
Ну вообщем да, абсолютно защищенная сеть та, которая не работает совсем. Но у автора топика выбора то все равно нет, либо делать и следить за тем, чтобы работало, либо не делать совсем. Во втором случае на месте начальника я бы уволил такого админа.