Pull to refresh

Comments 24

Ждем конфиг для nginx в качестве https балансировщика.
RDG и так работает, разумеется, через HTTPS. Почему автор так упорно пишет HTTP, я не понимаю.
Можно его заставить по HTTP работать, сделав SSL-offload на балансировщик.
Смысл в этом каждый ищет сам, а настраивается в SSL Bridging, HTTPS-HTTP bridging.
Так можно и с habr.com поступить, и даже смысл можно найти (если у меня нестабильное соединение с очень большой задержкой, а логиниться мне не надо, почему бы где-нибудь не поднять гейт https->http).
Пора пилить статью?

Не стоит сервисы от Microsoft выставлять наружу в интернет, особенно с такой сомнительной "защитой".
Рекомендую просто использовать vpn по сертификатам перед rdgw (который вам возможно и не нужен, а нужен лишь rdp?).

Не стоит сервисы от Microsoft выставлять наружу в интернет

полностью согласен.
Их можно выставлять только через специализированные шлюзы. Даже у самого MS раньше был ISA, затем TMG, затем UAG. После они слились с этой темы. Вот и крутимся, кто как может.
использовать vpn по сертификатам

Не будем рассуждать что лучше, что хуже. Как администратор, я за vpn по серт-ам, но как тех.подд сможет условному «бухгалтеру» по телефону объяснить настройку vpn, и почему у него после поднятия vpn перестал работать вконтактик.
Вы преувеличиваете сложность данного процесса в отношении условных «бухгалтеров». Те кто не уверен в своих силах либо привозят ноуты, либо пользуются тимвьювером. Остальные могут скачать предподготовленный клиент и вбить логин и пароль «как от компьютера»

Не заворачивайте весь трафик через свой шлюз, и не пропадут вконтактики. Ну или добавьте вконтактики в доступ.

Всем накатывается клиент (предпочитаю openvpn + udp) + раздаётся конфиг с вшитым в него сертификатом + настаивается автоподключение при загрузке + splitdns, чтобы трафик шёл в туннель только для рабочих адресов. Рекомендуется защищать конфиг паролем при подключении, но можно и без него, чтобы пользователи совсем не беспокоились. К openvpn ещё и двухфакторная авторизация прикручивается очень легко (смс, google authenticator и т.п.).


Можно для каждого бандл (установщик+конфиг) сформировать и накатить какими-нибудь политиками или чем вы машины конфигурируете.


Множество самого не продвинутого персонала работает с таким абсолютно нормально (говорю из опыта), а есть персонал и гораздо более непродвинутый, чем бухгалтера.


Знают, что если иконка в углу экрана красная, то скорее всего нужно проверить своё подключение к интернет, т.к. openvpn обычно работает как часы.

Как вы делаете splitdns?
Посмотрел одну из последний стабильных установок OpenVPN и там сделан не splitdns, а именно маршрут в корпоративную подсеть «пушается»(push) на клиента, а остальной трафик туда, соответственно, не заворачивается.
Например, вот так выглядит конфиг сервера OpenVPN 2.4.6.x (server.opvn) на Windows Server:
port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.0.0 vpn_gateway"
mssfix
tun-mtu 1500
keepalive 10 120
reneg-sec 0
comp-lzo
persist-key
persist-tun
verb 4
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 0
crl-verify "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\crl.pem"
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\config\\ipp.txt"
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"


Конфиг именно с реализованным splitdns под рукой нет, но гуглится это достаточно легко, вариантов масса.

Split VPN удобен пользователям, но является потенциальной дырой в корпоративной сети. Вернее дырами, по числу пользователей, домашние ПК которых не так хорошо защищены, как корпоративные. Во многих крупных компаниях запрещен политиками ИБ.

В таких компаниях уж точно наружу не выставляется rdgw с такими решениями, которые привёл автор статьи.
Использовать или не использовать splitdns это уже второй вопрос.

Ответов на вопрос «почему перестал работать вконтактик после поднятия vpn» всего два. Первый — политика безопасности компании и в этом случае объяснять условно у «бухгалтеру» вообще нечего. И второй — рукожопый админ VPNc, который умеет заворачивать в VPN только весь трафик и настройки делал по «примеру из интернета» даже не удосужившись разбораться что к чему.

через CMAK делается красивенький конфигуратор, с рюшечками и иконками, (и с отключением шлюза по дефолту). Любые бухгалтера и менеджеры вне себя от счастья.

А парольная политика домена? Пять раз и в блок по GPO. Если не через шлз, то cyberarms.
А Неудачные логировать и отчет на почту?
На край нетврикс или manageengine adaudit.
Используя блокировку через GPO вы блокируете учетку, в таком случае вам могут устроить DDOS ваших пользователей, как минимум стандартных очень просто. А зная домен можно попробовать и обычных вычислить. Если блочить, то по IP.
А Неудачные логировать и отчет на почту?

В таком случае у вас быстро ящик переполнится, боты очень активны.
Блокируйте ip перебирающий больше 5 логинов, можно даже отчет не генерировать.
Блокируйте ip при более чем 5 неверных попытках входа, с генерацией отчета.
Используйте для авторизации RADIUS и/или двухфакторку. Используйте сертификаты. Используйте индивидуальные сертификаты.
Блокируйте ip при любом результате авторизации, если геозона «не путешествующего» сотрудника резко изменилась. Блочьте учетку если авторизация удачная, меняйте пароли автоматом. Лучше разбираться с учёткой утром, чем с утечкой к вечеру.

Этих простых правил хватит для того то бы отсечь любого скрипт-кидди любого уровня упоротости.
Интересно, а соединения в tarpit можно засунуть через haproxy?
В более простой ситуации (терминальник один) сделал следующее
1. Выставляем rdg на нестандартный порт (старые клиенты вин хр этого не умеют, если таких не осталось ок) — на самом деле просто прокинул нестандартный порт на 443
2. На самом трерминальнике воткнул fail2ban (емнип rdp defender, но подойдёт любой аналог, хоть самопис — банит ip-шки брутфорсеров на базе логов винды и виндового же фаера).

Ну и сплю спокойно, на удивление брутфорсеров нет совсем.
А так да, я за впн:) в идеале виндовыми средствами, чтобы не морочиться со сборкой установщика, который и админские права требует.
Поддержка UDP транспорта позабыта случайно или специально?
между домашним компьютером сотрудника и офисным RDGW шлюзом устанавливается обычное https соединение по 443 порту. Разве в этом месте можно перейти на UDP?
Можно. Но, в принципе, если рабочая нагрузка не выходит за рамки ворда и 1с, то не обязательно. Вот хорошая статья на тему: habr.com/ru/post/501132
Используйте многофакторную аутентификацию на RDGW, посмотрите на пример rdgw.n-kraft.ru
Only those users with full accounts are able to leave comments. Log in, please.