Egy tisztán RDP távoli eléréshez nem felesleges a VPN kapcsolat?
Arra gondolok, hogy a VPN inkább arra való, hogy a gépem el tudja érni a távoli hálózat erőforrásait (szervereket, nyomtatókat), mondjuk ha a céges programok az én gépemre vannak telepítve, és itt futnak nálam. De ha RDP-vel egyetlen távoli géphez akarok kapcsolódni, és mindent azzal "csináltatok", minden ott fut, akkor minek kell látnom a távoli lokális hálózatot?
Azt értem, hogy biztonsági okokból is jó a VPN, de nem elég egy SSL csatornán keresztül vezetni az RPD protokollt? Asszem van ilyen, hogy SSL tunelling, vagy ez kevésbé lenne biztonságos, mint a VPN? A nyilvános IP-je úgyis látszik mindkét félnek, különben át sem jutnának a csomagok a neten. A VPN szerver meg a távol lévő cégnél van, nem egy harmadik helyen.
Segítenétek, hogy hogy is van ez? :)
válasza:Nem olvastam el a válaszokat, bocsi ha ismételek.
A távoli asztali kapcsolat maga is egy site to site vpn tulajdonképpen. Régebben amíg titkosítatlanul is kommunikált nem így volt, de ez mára teljesen megváltozott, az rdp teljesen megfelel ma már a vpn leírásának. (Titkosított, zárt csatornán való kommunikáció).
A vpn-t leginkább hálózatok összekapcsolására használják. Amikor is két. több gépes hálózatot kapcsolnak össze mintha egy lenne. A távoli asztalt pedig két eszköz összekapcsolására.
A vpn-t azért használhatják még rdp helyett, mert ha van a cégnél valaki aki már kialakított egy szabály rendszert sok idő alatt, akkor egyszerűbb azt használnia mint az rdp-t beállítania. Az rdp biztonsági szintje a cél gép (rds szerver) biztonsági szintjétől függ. IISCrypto-val egy bármilyen vpn-él sokkal biztonságosabb kommunikációs lehetőséget lehet elérni vele, de ezt be kell állítani, alapból közepesen erős biztonságot nyújt.
(Immuniweb, ssllab olyan A szint körül, ha be van állítva akkor A+).
A láthatóságot is meg lehet oldani a tűzfalban be lehet állítani a célgépen.
Személyes véleményem a témáról.
Bár a mai vpn megoldásokat már be lehet állítani biztonságosra is (mondjuk ezek mind fizetősek), az elrejtés maga nem nyújt már biztonságot a mai világban. Kb. olyan, mintha választhatnál, hogy egy hajléktalannak öltözött szakadt emberkének odaadsz egy retkes szatyrot amibe beleraktad a 100 milliót hogy vigye el a célhelyre (vpn), el van rejtve nem lesz baj. Vagy 15 tankkal, helikopterrel meg 500 géppisztolyos őrrel kísérve viszed el a célhelyre (helyesen beállított rdp) :)
válasza:"de nem elég egy SSL csatornán keresztül vezetni az RPD protokollt?"
Igazából ma már megoldható hogy TLS1.3 alatt fusson csakis és kizárólag. (IISCrypto) Feltörhetetlen / visszafejthetetlen lesz az adatfolyam.
Amit előzőből kifelejtettem. Kell a célgépre egy tanúsítvány. E nélkül nem működhet biztonságosan, ez biztosítja azt hogy a jelszavak küldése / csatlakozás maga is titkosítva történjen. Ezt macerás megcsinálni, a vpn egyszerűbb sokaknak.
válasza:"A nyilvános IP-je úgyis látszik mindkét félnek"
Nem feltétlen.
Ha fix ip-ről csatlakozik valaki beírható a tűzfalba, hogy csakis az az egyetlen ip lásson rá. Az összes többi bejövőt dobja el minden porton. Ha dinamikusról, akkor a szolgáltatója ip tartományát, így csak az a néhány gép fogja látni. Mivel magyarban vissza követhető az adatforgalom, kizárt hogy innen próbálnának megheckelni(100% lebukással jár), az összes hackelésre használt külföldi ip -t kizártad így. Azt mondanám hogy ezzel 99,99%-al megnövelted a biztonságát az amúgy is titkosított adatfolyamnak.
Amúgy a kérdés jó volt :)
Lehet feltörhetetlenné tenni egy rdp-t, csak munka van vele...
Értem, köszönöm a részletes választ!
Egyébként céges home-office a konkrét eset, tehát céges VPN szerver, nem nyilvános.
válasza:Akkor valószínűleg már ki lettek alakítva rajta a megfelelő házirendek, szabályok, hozzá rendelések, jogosultságok, használható cipherek, protokollok...
Ilyenkor én is inkább a kész megoldást használnám, mintsem nekiálljak egy újat létrehozni :)
válasza:Miért jobb VPN-en belül? Csak egy objektív indok:
Mert például az titkosított RDP kommunikáció (elviekben) ha nem is visszafejthető, de azt hogy RDP-t használsz... látható.
Ha mindez egy VPN-en belül megy, akkor kívülről csak az látható, hogy VPN. De hogy azon belül mit csinálsz, már rejtve merad. (Nem teljesen igaz, forgalmi statisztikai módszerekkel lehet esélyeket latolgatni, de ezt most hagyjuk.)
Ráadásul van még két előnye a VPN-ek a titkosításon kívűl:
1. Plusz bizalom biztosítása (tuti azzal az RDP szerverrel kommunikálsz, és nem MITM támadás áldozata vagy, bár ezt az RDP is biztosítja ha "odafigyelsz"... pl certificatek használata)
2. A titkosítástól és és a bizalomtól is eltekintve lesz egy "privát" hálózatod. Ami a kimenő és bejövő tűzfalak alkalmazása esetén is könnyebben kezelhető. Hiszen nem egy publikus IP-n kell különböző szolgáltatásokat nyitnod, esetleg forwardolgatni, portokat nyitogatni. (Ezek eleve nem is biztonságos módszerek.) Hanem ha megvan a VPN, akkor már azon a "csövön" átmegy szinte minden. Ráadásul ha olyan a hálózati topológia (és a biztonsági beállítások), egy VPN-en keresztül egész belső hálózatokat elérését is lehetővé teheted. Pl van egy otthoni/céges hálózatod. Ott a VPN szerverre "betárcsázva", a "roadwarrior" notebookod tökre olyan lesz (lehet), mintha az otthoni/céges hálózatban lenne. Tök mindegy hogy milyen szólgáltatón, és hogyan csatlakozol. Ha VPN kiépült... hálózatilag otthon/irodában vagy! :D
Nyilván fenti leírás nagyon absztrakt, ennél öszetetteb a dolog... subnet elkölönítés még VPN-hez is, routolás és tűzfal a VPN és belső LAN között, stb... VPN certificatek a bizalomhoz, stb
Kapcsolódó kérdések:
Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!