Citrix, домен, доступ снаружи
Модераторы: Trinity admin`s, Free-lance moderator`s
Citrix, домен, доступ снаружи
Господа, есть следующая задача.
Есть сервер с Citrix MetaFrame. Сервер входит в домен. Сейчас возникла задача дасть доступ к нему снаружи из интернета.
Самый простой вариант это сделать port forward на ISA-сервере, который делит у нас локалку, DMZ и интернет.
Отдел внедрения, который отвечает за Citrix, считает, протоколы Citrix'а и собственно Citrix, развернутый на Win2003 Standart, достаточно защищены и можно обойтись пробросом портов.
Я, в свою очередь, считаю, что Citrix должен быть связан с VPN-сервером в DMZ, принимающим подключения для удаленников, а не смотреть сразу наружу.
Кто что сможет посоветовать по этому моменту? Не хочется светить наружу сервер, входящий в домен.
PS. Если топик не в той теме, то перенесите в более подходящую...
Есть сервер с Citrix MetaFrame. Сервер входит в домен. Сейчас возникла задача дасть доступ к нему снаружи из интернета.
Самый простой вариант это сделать port forward на ISA-сервере, который делит у нас локалку, DMZ и интернет.
Отдел внедрения, который отвечает за Citrix, считает, протоколы Citrix'а и собственно Citrix, развернутый на Win2003 Standart, достаточно защищены и можно обойтись пробросом портов.
Я, в свою очередь, считаю, что Citrix должен быть связан с VPN-сервером в DMZ, принимающим подключения для удаленников, а не смотреть сразу наружу.
Кто что сможет посоветовать по этому моменту? Не хочется светить наружу сервер, входящий в домен.
PS. Если топик не в той теме, то перенесите в более подходящую...
Re: Citrix, домен, доступ снаружи
Все диктуется правилами безопасности вашего предприятия. Если у вас принято логировать входы в вашу сеть извне, вы имеете утвержденную стратегию безопасности, назначены ответственные за заведение/удаление логинов, чтения логов, разбора полетов, то да, ваш выбор VPN в DMZ.
Если вашему руководству по фигу на безопасность и стратегия безопасности сводится к "сделай что-нибудь лишь бы работало", то на фига вам напрягаться? Вместо разворачивания инфраструктуры VPN и выстраивания сети под утвержденные правила, можете посвятить это время игре в любимую игрушку из серии Office Killer. Ваша совесть чиста.
Если вашему руководству по фигу на безопасность и стратегия безопасности сводится к "сделай что-нибудь лишь бы работало", то на фига вам напрягаться? Вместо разворачивания инфраструктуры VPN и выстраивания сети под утвержденные правила, можете посвятить это время игре в любимую игрушку из серии Office Killer. Ваша совесть чиста.
Re: Citrix, домен, доступ снаружи
Дело в том, что я, как админ, хочу сделать это грамотно и последнее слово, если не будет волевого - "хочу", за мной.and3008 писал(а):Все диктуется правилами безопасности вашего предприятия. Если у вас принято логировать входы в вашу сеть извне, вы имеете утвержденную стратегию безопасности, назначены ответственные за заведение/удаление логинов, чтения логов, разбора полетов, то да, ваш выбор VPN в DMZ.
Если вашему руководству по фигу на безопасность и стратегия безопасности сводится к "сделай что-нибудь лишь бы работало", то на фига вам напрягаться? Вместо разворачивания инфраструктуры VPN и выстраивания сети под утвержденные правила, можете посвятить это время игре в любимую игрушку из серии Office Killer. Ваша совесть чиста.
А Office Killer не люблю. Лучше сюда заглянуть, почитать что полезное или добраться до файлика "To-Do на случай не озадаченности.txt"
Re: Citrix, домен, доступ снаружи
Лучшее - худший враг хорошего.
А степень безопасности обратно зависима от удобства использования.
Да, по всем книжкам будут безусловно рекомендовать DMZ и VPN. Но в более грамотных книжках сперва рекомендуют оценить риски и затраты на их минимизацию. Золотую середину искать вам. А 100% верного ответа в данном случае нет. В той или иной мере правы обе стороны.
А степень безопасности обратно зависима от удобства использования.
Да, по всем книжкам будут безусловно рекомендовать DMZ и VPN. Но в более грамотных книжках сперва рекомендуют оценить риски и затраты на их минимизацию. Золотую середину искать вам. А 100% верного ответа в данном случае нет. В той или иной мере правы обе стороны.
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Citrix, домен, доступ снаружи
"_DimON_"
Ну и от себя бы добавил. Легкость управления обратно пропорциональна количеству фич, применяемых при построении системы. В случае если вы просто пробрасываете один порт наружу (причем вы можете спокойно внешний порт указать другой для защиты от скана портов), это далеко не означает открывать всю сеть АД.
Я бы еще предложил другой вариант, коннектится по https через веб на какой-нибудь странный порт.
Ну и от себя бы добавил. Легкость управления обратно пропорциональна количеству фич, применяемых при построении системы. В случае если вы просто пробрасываете один порт наружу (причем вы можете спокойно внешний порт указать другой для защиты от скана портов), это далеко не означает открывать всю сеть АД.
Я бы еще предложил другой вариант, коннектится по https через веб на какой-нибудь странный порт.
-
- Junior member
- Сообщения: 15
- Зарегистрирован: 24 окт 2008, 11:52
- Откуда: СПБ
- Контактная информация:
Re: Citrix, домен, доступ снаружи
VPN в DMZ выглядит наиболее правильным решением.
У Citrix есть ПО Access Gateway, по сути это и есть VPN через https. Вендор рекомендует его ставить внутри DMZ прокинув к нему 443 порт. Именно это решение наиболее безопасно
У Citrix есть ПО Access Gateway, по сути это и есть VPN через https. Вендор рекомендует его ставить внутри DMZ прокинув к нему 443 порт. Именно это решение наиболее безопасно
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Citrix, домен, доступ снаружи
Для пущей безопасности (для защиты от сканеров) порт 443 можно заменить на любой выше 1024. Нечто типа 8080.v.mikhailov писал(а):Вендор рекомендует его ставить внутри DMZ прокинув к нему 443 порт. Именно это решение наиболее безопасно
Re: Citrix, домен, доступ снаружи
Правильно запущенный nmap позволяет за 5 минут получить всю инфу о сервисах, которые предоставляет комп.
Не вижу никакого великого смысла переносить службы на нестандартные порты, если они не конфликтуют с уже имеющимися сервисами.
Не вижу никакого великого смысла переносить службы на нестандартные порты, если они не конфликтуют с уже имеющимися сервисами.
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Citrix, домен, доступ снаружи
Это будет целенаправленный скан конкрентного айпи, как правило в инете боты сканируют не весь диапазон, а конкрентный до 1024 порта, где собс-но висят штатные сервисы. А переброс сервиса на 65ххх порт позволит как раз защититься от ботов.and3008 писал(а):Правильно запущенный nmap позволяет за 5 минут получить всю инфу о сервисах, которые предоставляет комп.
Не вижу никакого великого смысла переносить службы на нестандартные порты, если они не конфликтуют с уже имеющимися сервисами.
Re: Citrix, домен, доступ снаружи
Как правило это далеко не всегда так. Уже несколько лет Интернет штормит самыми разнообразными затейниками. Дело усугубляется тем, что как правило зараженная машина впоследствии становится частью Зомби-сети. Я имею нескольких клиентов, которые попадали на это. Причина банальна. Они не ставили патчи и держали сервисы на нестандартных портах. Типа "Ну работало же 5 лет"!как правило в инете боты сканируют не весь диапазон
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Citrix, домен, доступ снаружи
"and3008"
Ну вообщем да, абсолютно защищенная сеть та, которая не работает совсем. Но у автора топика выбора то все равно нет, либо делать и следить за тем, чтобы работало, либо не делать совсем. Во втором случае на месте начальника я бы уволил такого админа.
Ну вообщем да, абсолютно защищенная сеть та, которая не работает совсем. Но у автора топика выбора то все равно нет, либо делать и следить за тем, чтобы работало, либо не делать совсем. Во втором случае на месте начальника я бы уволил такого админа.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 18 гостей