חיבור VPN ושרת Exchange

[עדיג78]

הכל נראה לי

בעיקר נראה לי שכל מקרה צריך להיבדק לגופו של עניין באותה מידה, אני יכול להגיד הפוך.. נראה לך שרק בשביל סיגלית מהנהלת חשבונות אני אעמיס על השרתים שלי עוד תוכנות ניהול ועוד אמצעי הגנה? אני אלך אליה הביתה, אוודא שהמחשב מעודכן, אגדיר מה שאני רוצה להגדיר, אתקין לה כרטיס הגנה וסלמאת. הכל לפי המקרה.

 

[טופי]

זה מאוד בעייתי

כאשר יש לך ארגון עם 100 משתמשים, לא גדול אבל לא קטן, אתה לא יכול להתחיל להתעסק עם המחשבים של העובדים, ובכך להגדיל את כמות המחשבים ב100%. ברגע שנגעת במחשבה לא של החברה, אתה מסתכן, עוד חודש יתקלקל, לא יעבוד, או משהו והוא יצפה ממך לתקן, כי אתה נגעת.

 

[antidot]

המממ

אתה מניח כאן כמה הנחות די מסוכנות. נניח ויש לי גישה רק לOWA, אבל המחשב שלי נדבק בתולעת שתוקפת שרתי IIS תוך שימוש בexploit שמשתמש בHTTP בלבד. מה עזר לנו RRAS ? מציע לך לקרוא קצת על VPN Quarantine Services (חלק מ2003): http://www.microsoft.com/technet/security/prodtech/windowsserver2003/quarantineservices/default.mspx ועל Network Access Protection : http://www.microsoft.com/technet/itsolutions/network/nap/default.mspx ואגב, זה לא משנה איזה כלי מבצע אוטנטיקציה. אותו CheckPoint יכול לבצע אוטנטיקציה מול AD, אבל אוטנטיקציה זה רחוק מאוד מלהיות כל מה שנחוץ על מנת להבטיח גישה מאובטחת ומוגנת (לשני הכיוונים). הגישות הנפוצות הן: - הגבלת גישה למשאבים מוגדרים מראש על מנת לצמצם את המרחב החשוף לתחנה שלא בוטחים בה - לחייב את התחנה לעמוד בסטנדרטים של האירגון תוך ווידוא המצאות אפליקציות מתאימות (AV, FW, עידכונים וכו') וכמובן שהגישה האופטימלית היא שילוב של כל הדברים ביחד.

 

[עדיג78]

יפה. כן

בהחלט סוג הפתרון שאני מדבר עליו. וגם הוא דוגל בגישה של ניהול מרוכז, ברגע שלקוח נכנס להסגר ועבר את כל הבדיקות, הוא בתוך הLAN. אני מאוד לא בעד חסימה או אישור של פורטים ספציפים למחשב מסוים אחרי שהוא עבר אימות ונכנס ל LAN אני מאוד בגישה של לוודא שהמחשב עומד בסטנדרטים של הארגון (על ידי הסגר, או שיטות פרימיטיביות יותר כמו הכנסה לדומיין ולכן אילוץ עדכון של אנטי וירוס ו update server וכו'.) וברגע שהוא עומד בדרישות, לתת לו גישה בVPN ולנהל הכל מ gpo ו AD. הדבר האחרון שאתה רוצה, זה אחרי שתקודם לתפקיד המנמ"ר, זה שהטכנאי יציק לך בשאלות כגון "איזה פורט הולך לאן , אתה זוכר מה הגדרת לסיגלית לפני שנתיים"?

 

[antidot]

מי זאת סיגלית ?

אני מכיר רק כתפקידים. מספיק לי להגדיר תפקידים כגון: "מורשי גישה לOWA בלבד" "מורשי גישה לשרתי קבצים של הנהלת חשבונות" "גישה מלאה" "גישה לשרתי TS" אחרי זה מספיק לי להגדיר policies מתאימים ולשייך את המשתמשם לקבוצות הרלוונטיות. עשיתי את זה בעבר. זה עובד נהדר אם עובדים נכון ומגדירים baselines בצורה מסודרת. בכל מקרה, אין פתרונות קסם... יש מקומות שפתרון X פשוט לא ישים וניתן רק לעבוד לפי Y, יש כאלה שיכולים לעשות מה שהם רוצים, יש כאלה שמטילים מגבלות שבחיים לא היית חושב עליהן.

 

[עדיג78]

תקרא את השרשור שוב

סיגלית היא מנהלת החשבונות. שווה, פנויה ומתמסרת בקלות. לא פלא שאני הולך אליה הביתה להתקין את המחשב כל פעם מחדש... יאללה, מבחינתי השרשור מיצה את עצמו, למדנו המון והחלפנו דעות ורעיונות. מי האמין שהכל התחיל מזה שלבחור (צד ג' בכלל) היתה בכלל בעיה בחסימת פורטים.

 

[antidot]

תראה תשמע...

אם היא שווה, פנויה ומתמסרת בקלות, בהחלט יש מקום לביקור ביקור בית. טוב רבותיי, היה נחמד, תודה על הדגים. אני בדרך לעוד לקוח מרוצה בענייני Exchange. מישהו אמר RPC over HTTPS ולא קיבל ?

 

[עדיג78]

RPC OVER HTTP

זה מה שאנחנו עושים

 

[טופי]

אם כבר התחלנו,

אתם נותנים לאינטרנט לגשת לשרת שלכם בHTTPS, או שיש שרת מתווך?

 

[טופי]

ROTFL! ../images/Emo6.gif

אחחח... הסיגלית הזו, רק בעיות היא עושה.

 

[antidot]

------>

לקוח הדואר חייב בנוסף להיות מסוגל לגשת לDC-ים בפורטים של GC, LDAP, Kerberos, DNS ועוד כמה. אם הFW שלך מאפשר ללקוחות לדבר אך ורק מול Exchange, אתה צריך לשנות את ההגדרות עבור לקוחות VPN ולאפשר להם לדבר עם DC-ים. נ.ב.: לא כל גישת VPN מאפשרת גישה מלאה לרשת פנימית. ניתן להגדיר VPN כך שמי שמתחבר יכנס ל"בועה" שממנה יש גישה רק למשאבים שהוגדרות מראש.