Remote Desktop Gateway Network Design

[Eusebio83]

Hoi iedereen,

Ik wil in een bestaand netwerk gebruik gaan maken van een Remote Desktop Gateway. Deze moet dienen om remote desktop connecties toe te staan met enkele Windows 7 computers in een LAN. Op deze windows 7 computers draait software waarmee gespecialiseerde werknemers aanpassingen kunnen doen in DCS systemen. Deze DCS systemen zijn controle systemen voor PLC gestuurde productieomgevingen .

De werknemers willen toegang naar deze windows 7 computers van thuis uit. Zodat ze van daaruit eventuele storingen kunnen oplossen als ze niet van dienst zijn.

Na wat opzoekingswerk lijkt mij de implementatie van een remote desktop gateway ideaal om te kunnen beantwoorden aan de vraag van de werknemers. Ik stel me echter enkele vragen bij de plaatsing van de remote desktop gateway in het netwerkdesign.

Opzet 1:Remote Desktop Gateway in DMZ

Deze opzet lijkt mij het simpelst qua implementatie. Ik stel me echter wel vragen bij de security. Aangezien er voor de werknemers die remote verbinden AD authenticatie moet gebeuren, moet deze RD Gateway lid zijn van het domein. Hiervoor moeten veel poorten worden opengezet in de firewall die het DMZ en het LAN met elkaar verbind.

Opzet 2:Remote Desktop Gateway in LAN en werknemer laten inbellen via VPN in DMZ

Dit is ook een mogelijkheid. Qua security lijkt me dit iets veiliger omdat er nu 2 vormen van authenticatie zijn. eerst authenticatie met VPN, daarna authenticatie AD op RD Gateway.

Opzet 3:Remote Desktop Gateway in LAN met Forefront TMG in DMZ.

Deze optie is ook mogelijk, maar lijkt me ingewikkeld qua implementatie. Op deze manier wordt de TMG gebruikt als reverse proxy, meer bepaald als SSL bridging device voor het verkeer dat van internet komt en over de RD Gateway naar de Windows 7 computer met remote desktop enabled.

Waarchijnlijk zie ik nog een en ander over het hoofd. Jullie mogen me daar gerust op wijzen. Mensen hier met ervaring in de server role Remote Desktop Services in Windows serverbesturingssystemen?

Voor welk opzet zouden jullie gaan, en waarom?

Alvast bedankt.

 

[RogerS]

Voor zover het een produktieomgeving lijkt me een remote beheer oplossing niet echt wenselijk. Erg handig als een medewerker van thuis een aanpassing doet en een medewerker in de productielijn is er niet van op de hoogte. Een ongeluk ligt zo maar op de loer. Het lijkt aanlokkelijk en geldbesparend, maar vergeet het aspect persoonlijke veiligheid niet.

Optie 2 is wat veiligheid de minste. Hiermee hang je de thuis pc van een gebruiker rechtstreeks in je netwerk. Als die pc dus slecht beveiligd is, is er een mogelijkheid om je productieomgeving te hacken.

Persoonlijk zou ik de gebruikers via je DMZ laten inloggen. Extra beveiliging toevoegen middels SSL en OTP (een token of SMS code). Het klopt wel dat er nogal wat poorten open moeten tussen DMZ en LAN maar daar zou je eventueel nog een extra IDP of IPS tussen kunnen plaatsen. De gateway server dan als enige rol de gateway. De poorten tussen DMZ en LAN staan dan wel open maar de enige toegang van buiten tot dit kanaal is via de beveiligde verbinding via RDP. Voor de rest hoeft deze server geen enkele toegang tot internet te hebben.

 

[Eusebio83]

Bedankt voor de reactie.

Medewerkers zullen de productiesystemen enkel manipuleren indien ze hiervoor opgeroepen worden, dit zal enkel zijn als de mensen die aanwezig zijn in het bedrijf de storing zelf niet opgelost krijgen. Dus er is wel samenspraak tussen de medewerkers. In principe is dit dus geen probleem qua veiligheid. Het is overigens ook de vraag van het management.

Wat overigens ook een eis is van het management uit, is dubbele authenticatie. Vandaar stel ik me de vraag bij het netwerkdesign. Plaatsing vad de gateway.

Ik heb een lichte voorkeur voor de plaatsing van de gateway in DMZ (opzet 1 besproken in topic) . Maar op deze manier bekom ik enkel authenticatie met AD, er moet dus nog een tweede manier van authenticatie bedacht worden.

Je gaf me hiervoor al een hint --> extra beveiliging invoeren middels SSL en OTP. Bedenkingen hierbij:

Bij het verbinden van remote client naar RD Gateway in DMZ wordt gebruik gemaakt van RDP in HTTPS. Dus hierbij wordt al SSL gebruikt. Het gebruik van OTP lijkt me een optie, maar is dan weer moeilijk voor third party users(programmeurs van het productieproces bv) remote toegang te verschaffen indien ze dit nodig hebben.

Ik ga me wat verdiepen in het bedenken van een extra authenticatie methode om opzet 1 werkend te krijgen, met 2 authenticatiemethoden dan wel. Iendien iemand wat tips heeft om mij wat in de juiste richting wil duwen. Laat maar horen.

 

[RogerS]

OTP kan ook verstuurd worden via SMS tegenwoordig. Hoef je dus niet eerst dure tokens uit te delen aan externe medewerkers.