Hellstorm
Cadet 4th Year
- Registriert
- Nov. 2008
- Beiträge
- 111
Moin allerseits,
bei uns mehren sich die Anforderungen, dass diverse User aus dem VPN über RDP auf eine Workstation im Clientnetz zugreifen möchten. Die Gründe sind unterschiedlich.
Per se ist RDP aus dem VPN ins Clientnetz nicht erlaubt. Also braucht es schon einmal in der Firewall eine Regel, dass Source User xyz auf Destination IP, Port 3389, Application RDP zugreifen darf. Kann man so machen, wenn man mehrere Anforderungen dieser Art hat, häufen sich aber schnell die Firewall-Regeln, was ich gerne vermeiden möchte.
Hier mal meine aktuellen Gedankengänge:
Meine Idee wäre hierfür also eher ein eigener Jumphost. Der User verbindet via RDP zum Jumphost. Damit brauche ich dann nur noch eine Regel in der Firewall. Den Zugriff definierter User aus dem VPN auf den Jumphost kann ich in der Firewall dann elegant über eine AD-Gruppe regulieren.
Jetzt wäre es natürlich am effizientesten, wenn ich irgendwie über einen RDP Gateway/Broker dann dem Client auf dem Terminalserver direkt eine Session auf der Zielworkstation zuweisen könnte. Aber dafür scheint dieses Feature von Windows Server nicht ausgelegt zu sein.
Aber ich kann ja dem User einfach eine passende RDP-Datei auf dem Desktop anlegen, die vom Jumphost dann eine zweite RDP-Session zum Client herstellt. Dann wären wir zumindest am Ziel.
Problem hierbei: Hopping. Zum einen möchte ich vermeiden, dass der User vom Jumphost aus zu irgendeinem anderen Ziel verbinden kann als dem gewünschten Client. Und zum anderen Möchte ich natürlich auch nicht, dass er dann auf dem Ziel-Gerät dann irgendwie weiterspringen kann. Port-Isolation haben wir aktuell noch nicht im Einsatz. Kommt zwar noch, aber da habe ich noch kein Zieldatum.
Also könnte ich das immer noch über die Windows-Firewall regeln. Der normale User hat ja auch keine Admin-Rechte, um dort rumzufummeln. Von Schwachstellen mal abgesehen wäre das zumindest ein wenig sicherer, als es gar nicht einzuschränken. Das wäre aber auch schon wieder ein relativ starres Konstrukt. Da kommt dann meine letzte Idee zum tragen: IPSec.
Ich könnte die lokale Firewall auf dem Client und Jumphost mit IPSec konfigurieren. Dann könnte ich die Verbindungen auch wieder relativ effizient über AD-Gruppen regeln. Das hat den Vorteil, ich kann dann im Self-Service-Portal eine neue Berechtigung anlegen lassen, die User automatisch in die AD-Gruppe packt. Dann wäre das gleich dokumentiert und man hat immer eine Übersicht, wer wo was darf.
Allerdings: In Summe alles relativ viel Konfigurationsaufwand und recht komplex. Bisher ist die Anzahl der Anforderungen auch noch überschaubar. Da könnte ich tatsächlich noch einfachere Wege gehen. Aber ich weiß nicht, wie das mittel- oder langfristig aussieht. Die User kommen auf immer ausgefallenere Ideen aus dem Home Office.
Vielleicht denke ich auch nur zu kompliziert und jemand kennt eine elegantere Lösung? Generelle Meinungen dazu sind auch jederzeit willkommen.
bei uns mehren sich die Anforderungen, dass diverse User aus dem VPN über RDP auf eine Workstation im Clientnetz zugreifen möchten. Die Gründe sind unterschiedlich.
Per se ist RDP aus dem VPN ins Clientnetz nicht erlaubt. Also braucht es schon einmal in der Firewall eine Regel, dass Source User xyz auf Destination IP, Port 3389, Application RDP zugreifen darf. Kann man so machen, wenn man mehrere Anforderungen dieser Art hat, häufen sich aber schnell die Firewall-Regeln, was ich gerne vermeiden möchte.
Hier mal meine aktuellen Gedankengänge:
Meine Idee wäre hierfür also eher ein eigener Jumphost. Der User verbindet via RDP zum Jumphost. Damit brauche ich dann nur noch eine Regel in der Firewall. Den Zugriff definierter User aus dem VPN auf den Jumphost kann ich in der Firewall dann elegant über eine AD-Gruppe regulieren.
Jetzt wäre es natürlich am effizientesten, wenn ich irgendwie über einen RDP Gateway/Broker dann dem Client auf dem Terminalserver direkt eine Session auf der Zielworkstation zuweisen könnte. Aber dafür scheint dieses Feature von Windows Server nicht ausgelegt zu sein.
Aber ich kann ja dem User einfach eine passende RDP-Datei auf dem Desktop anlegen, die vom Jumphost dann eine zweite RDP-Session zum Client herstellt. Dann wären wir zumindest am Ziel.
Problem hierbei: Hopping. Zum einen möchte ich vermeiden, dass der User vom Jumphost aus zu irgendeinem anderen Ziel verbinden kann als dem gewünschten Client. Und zum anderen Möchte ich natürlich auch nicht, dass er dann auf dem Ziel-Gerät dann irgendwie weiterspringen kann. Port-Isolation haben wir aktuell noch nicht im Einsatz. Kommt zwar noch, aber da habe ich noch kein Zieldatum.
Also könnte ich das immer noch über die Windows-Firewall regeln. Der normale User hat ja auch keine Admin-Rechte, um dort rumzufummeln. Von Schwachstellen mal abgesehen wäre das zumindest ein wenig sicherer, als es gar nicht einzuschränken. Das wäre aber auch schon wieder ein relativ starres Konstrukt. Da kommt dann meine letzte Idee zum tragen: IPSec.
Ich könnte die lokale Firewall auf dem Client und Jumphost mit IPSec konfigurieren. Dann könnte ich die Verbindungen auch wieder relativ effizient über AD-Gruppen regeln. Das hat den Vorteil, ich kann dann im Self-Service-Portal eine neue Berechtigung anlegen lassen, die User automatisch in die AD-Gruppe packt. Dann wäre das gleich dokumentiert und man hat immer eine Übersicht, wer wo was darf.
Allerdings: In Summe alles relativ viel Konfigurationsaufwand und recht komplex. Bisher ist die Anzahl der Anforderungen auch noch überschaubar. Da könnte ich tatsächlich noch einfachere Wege gehen. Aber ich weiß nicht, wie das mittel- oder langfristig aussieht. Die User kommen auf immer ausgefallenere Ideen aus dem Home Office.
Vielleicht denke ich auch nur zu kompliziert und jemand kennt eine elegantere Lösung? Generelle Meinungen dazu sind auch jederzeit willkommen.
