windows 2000 terminal server

www.grc.com prøv dine porte

hvis du sørger for at Service Pack 3 er installeret og ellers bruger ntfs skulle den være nogenlunde sikker, men helt sikker bliver man aldrig.

Det er vel egentlig ikke saa mye hjelp i aa kjoere en portscan for aa sjekke om terminal server funksjonen er sikker ?? Naar en hvilken som helst serverfunksjon kjoerer saa vil det ligge i sakens natur at det vil maatte staa open en eller flere porter for at denne server funksjonen skal kjoere. At man observerer en aapen port for terminal server vil vel vaere "som normalt".

En hvilken som helst server funksjon med mulighet for ekstern paalogging representerer vel prinsippielt en sikkerhetsrisiko slik at man boer unngaa dette hvis mulig.

Finnes det noen standard bruker man boer vaere paa vakt i forhold til ?
Benytter MS 2000 terminal server kryptert komunikasjon eller gaar det i "plain text" ?
Vet ikke, men vil forsoeke aa finne ut av det ..

well... husk bare ALDRIG at give adgang til din terminalserver via internettet. pak den ind i en VPN. Meget gerne en 3. parts VPN løsning (feks. Cisco).

Ja, det er nok ikke helt risikofritt aa gjoere det nei.
Win 2000 terminal server = Port 3389 TCP, ikke kryptert saa vidt jeg kan se.
Automatisk lock etter 5 paafoelgende paaloggingsforsoek.
Mulighet for aa logge paa via Administrator konto.
Kan disables, men ogsaa disablingen av palogging sam Administrator
kan disables.

Aldri og aldri .. VPN er selvfolgelig en loesning, men den koster penger.

For oekonomiklasse: Linux router/firewall med mulighet for remoote ssh paalogging. to stk firewall script. Det ene blokkerer port 3389 det annet ikke. Med andre ord: man logger seg paa via ssh og "laaser opp" for terminal server via firewall for en kortere tidsperiode naar mam behoever det. Etterpaa saa stenger man forbindelsen.

En hacker skal da maatte passere to hindere: 1 . Foerst ssh paa Linux Firewall/router. 2. Passord paalogging for terminal server.

Bruker en noenlunde slik loesning for hjemmekontor og den fungerer faktisk rimelig greit.

langbein >> Kender du en god firewall / vpn distrubrution til Linux ?? man SKAL kunne overvåge systemet grafisk via web browser

Firewall, vpm, reoote controll det er vel egentlig tre forskjellige spørsmål, hva angår Linux.

1. Firewall: Linux har innebygget en kombinert router/firewall som heter netfilter. Denne er ganske super og kan det aller meste hva anngår firewalling.

2. Remoote controll. Sikker og god: ssh ikke grafisk men text basert interfase. Fungerer helt fint til oppgaven. Alternativt: webmin som kan brukes til administrasjon, men jeg er ikke helt sikker på om dette er anbefalingverdig rent sikkerhetsmessig når det gjelder access fra internett.

3. VPN. Her er jeg ikke helt sikker på status. Det fantes et Linux prosjekt som het "Swan" (eller var det "Svan" `) som gikk ut på å utvikle vpn for Linux. Ikke sikker på hvordan det gikk med dette.

ssh er en gratis del som følger med de fleste Linux distribusjoner, tror jeg, i alle fall Red Hat. Dette gir bare et teksbasert grensesnitt men man kan klare de fleste oppgaver for fjernkontroll, bare man har litt trning. ssh bruker kryptrert komuniasjon som default.

Webmin er et web basert interfase for det samme. Denne er også gratis. Når man logger inn på ens egen webside for remoote kontoll så ser det ganske likt ut som webmin sin hjemmeside.
http://www.webmin.net Webmin skal vel kunne kjøre kryptert, men har ikke prøvd det.

Slik som jeg hjør tingene for remoote controll av Linux server, så setter jeg Linux firewall slik at den i utgangspunktet ikke aksepterer noen annen remote pålogging enn ssh.

Webmin kjører imidlertid hele tiden og den er også hele tiden tilgjengelig fra LAN. Dersom jeg har behov for webmin tilgang fra internett, så kjører jeg et firewall script no 2 som gir midlertidig åpning for den porten som webmin kjører. Dette gjør jeg via ssh. Når jeg har fikset de tingene via webmin så kjører jeg det "normale" firewallscript på nytt slik at ssh igjen er eneste mulighet utenfra, fra internett.

Synes dette fungerer helt ok. Monterte for eksempel inn ny ekstra hd i Linux maskinen for litt siden. Et par knappetrykk via webmin så var den intallert, formatert og på plass i filsystemet.

Når det gjelder vpn så skal jo dette egentlig inneholde to elementer:

1. En kontrollmekanisme for at avsender og mottaker av ip pakker er den rette.

2. En krypteringsmekanisme som gjør data uleselig for 3 person.

Når det gjelder punkt 1 så er dette enkelt å ivareta via den standard firewall som inngår i linx ( http://www.netfilter.org ):

Man kan sette opp 2 stk Linux servere på en slik måte vha firewall at de ikke er i stand til å utveksle data med noen andre enn for eksempel hverandre. En mailserver i danmark vil for eksempel kunne være ute av stand til å sende eller motta mail fra noen andre steder enn en bestemt ip for eksempel i Japan. Dette gir jo noen av de elementene som inngår i et vpn oppsett men ikke selve krypteringen. (Slik at pakker vil kunne sniffes under veis, men hvor stport problem er egentlig dette ??)

Det fantes tidligere et Linux prosjekt som gikk ut på å utvikle et fullstendig og gratis vpn program/konsept for Linux. Navnet var freeswan. Prøvde å følge med i dette, men så forsvant det fra webben en periode. Ser at det tilsynelatende er "still going strong" igjen: http://www.freeswan.org/
Freeswan skal inneholde alle den standardfunksjonalitet som man skal kunne vente fra en vpn løsning.

Ser ut som om freeswan tar seg av selve krypteringsdelen av et vpn.
Adgangskontrooll dvs rett avsender og mottaker ip vil kunne sjekkes av Linux firewall / netfilter. Tror det må fungere slik.
http://www.freeswan.org/intro.html

Se ellers: http://www.eksperten.dk/spm/304298

langbein >> Jeg har fundet et produkt der hedder IPCOP, Det er både et avanceret firewall system med grafisk interface via web, den kan genere log, grafer omkring forbrug osv. Udover dette har den også indbygget vpn server, den ser meget nem ud og lige til at gå til prøv og se www.ipcop.org

Interresant. Dette ser ut til å være en ren firewall Linux i likhet med smootwall. http://www.smoothwall.org/

Når det gjelder både ipcop og nåværende produksjonsutgave av smootwall så ser begge disse til å være basert på den relativt sett eldre Linux 2.2.x kernel som i utgangspunktet har vesentlig dårligere firewalling egenskaper enn 2.4.x kernel so for eksempel inngår i Red Hat 7.3 / 8.0 Det er vel ikke derved sagt at ikke sluttresultatet kan være bra alikevell.

Jeg ser at til og med de beskrivelser hos RedHat som omhandler VPN er basert på 2.2.x teknologi. Ganske pussig synes jeg. ???

rr-web -> Har du forsøkt å kjøre vpn med Microsoft server ??
(Jeg har ikke og jeg har heller ikke forsøkt med Linux.)

Har imidlertid to bøker liggende som jeg ser har rimelig utførlige beskrivelser av VPN: Red Hat Security and Optimization, Red Hat press (side 528 og utover) og Red Hat 8.0 Bible (Side 653 og utover).

Har ellers 2 stk Red Hat servere kjørende "der hjemme". Kunne kanskeje tenke meg å teste litt og ellers sammenfatte litt av det som står i bøkene. (For dette skulle man jo kunne !)

Legg unfo info dersom du kjenner til eller har linker som beskriver bruken på Microsoft server (For prinsippene må jo være noenlunde de samme.)

Fant ikke noe på Red Hat sin web, men der i mot i de bøkene som omhandler Red Hat 7.3/8.0

Jo se her her fant jeg noe av det som står i bøkene:
http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/security-guide/s1-vpn-cipe.html
Har ikke fått satt meg inn i stoffet ennå.

http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/security-guide/

http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/security-guide/ch-vpn.html

Men hvordan virker det ?? Virker det slik at man tilsynelatende er på lan, slik at man for eksempel kan gå dirrekte inn på en fileserver i Japan eller slik at man kan printe ut et dokument på det samme sted. Oppfatter det slik at det vil virke slik at Japankontoret vil framstå som om det kjørte på Lan i et naborom. Mon det virkelig er slik ?? Eller vil det være bare slik at web server og ftp vil virke som normalt over internett, bare med den forskjell at forbindelsen er kryptert ??????? ? :-)

Den siste versjon av webmin inneholder en grafisk interfase for konfigurering av Linux 2.4.x firewall.  http://www.webmin.net
Logging av data fra firewall bør ellers være en noenlunde "standard ting".

http://www.webmin.com/standard.html

langbein >> En M$ VPN Server er nok noget af det mest usikre man kan få! Jeg kan bryde igennem de standarder på små 10 min. Udover dette er Webmin MINDST ligeså hullet da den åbner og lukker en masse porte som man ikke har brug for.

Du nævnte at ipcop kører på en lidt ældre kerne, dette er også rigtigt, MEN de kommer med en ny release, som kører på samme kerne som RH8

Du spurgte hvordan vpn virker, svaret er:

VPN erstatter det gamle RAS til eks. Win NT 4 serveren, istedet for at man har et netkabel som går i en switch til ens hjemme netværk, så kan man erstatte dette stykke netkabel med eks. en adsl forbindelse, hvor man så kobler op imod sin vpn server, som ligger på ens firewall, når du er koblet op imod vpn serveren, så er du underlagt, firewallens regler for dit lan, du vil kunne pinge intern osv. Udover dette, kan man opsætte vpn serveren til at clientens Internet trafik SKAL gå igennem firewallen, og derefter sende dataerne videre på en vpn string.

Jeg håber at det var fyldstgørende nok :)

Jo, jeg har også lest (men ikke prøvd og testet ut) at Microsoft sin VPN ikke skal være den sikreste. Husker / vet ikke hvorfor.

Når det gjelder framstillingen om erstatning for RAS så var i grunnen det en ganske praktisk måte å beskrive det på. RAS krever vel bare en RAS server og en klient. Mon det er slik at VPN (eventuelt Linux VPN ?) behøver to stk "VPN stasjoner" som er forbundet med hverandre via Internett. Hver av disse er igjen koplet opp mot hvert sitt lan segment. Lan segmentene kan routes mot hverandre. Lurer på om det ikke fungerer / kan fungere slik. Sjekker litt mere på det.

Jeg anvender CIPE til komm. mellem Hjemmearbejdsplads og firma.

CIPE består af et virtuelt LAN interface og en server app.  (På både win og lin side)

De virtuelle LAN interfaces får deres eget subnet og hjemmenet og firma har hver deres og så router man imellem dem.

Det virker i en opsætning a' la':

Hjemmenet -> hjemme router -> internet -> Linux Netfilter Firewall/GW -> firmanet.

og en af mine kolleger har en opsætning der kører på en dynamisk IP løsning.

De virtuelle adaptere laver en tunnel ved at sende kryptere TCP pakkerne og sende dem i UDP pakker mellem sig. Det giver en stor fordel fremfor f.eks. PPtP, som sender de krypterede TCP pakker i andre TCP pakker.

Hvis nogen er nysgerrige om yderligere detaljer kan de jo kommentere sprgsmlet.