Avatar billede _psyduck_ Nybegynder
24. februar 2008 - 14:02 Der er 1 kommentar og
1 løsning

Recording af en remote access?

Hej,

Jeg går og filosofere lidt på hvordan man kan lave et remote access system, hvor det er muligt at "optage" alt hvad der blive foretaget på et system.

Mit udgangspunkt er man forestiller sig en infrastruktur med 100 servere, og med 100 leverandøre og en firma-firewall med DMZ zone og intern netværk. Hvis man bare ønsker at hver leverandør kan få adgang til de 100 servere, så er det jo bare f.eks. at oprette en remote VPN klient til hver, med tilhørende .pcf fil, validere hver enkelt klient på firewallen og sørge for at de har en domain user account i Active Directory - med tilhørende administrator-rettigheder lokalt på hver enkelt server.

Så har hver enkelt leverandør i teorien adgang til deres egen servere, og kan få adgang til systemet når de ønsker det...

Denne løsning er jo i og for sig jo også god nok (hvis man ser på at trafikken bliver krypteret og kun "lovlige" leverandøre kan få adgang igennem firewallen), men har en masse svagheder i sig.

1) Medmindre at man deaktivere AD kontoen på hver enkelt leverandør efter hvert "besøg", så har de muligheder for at gå på serverne 24/7, uden kontrol fra den systemansvarlige.

2) Hvis leverandøren "dummer" sig og gør noget som de ikke burde have gjort, som gør systemet/serveren ustabilt, så kan de nemt frasige sig ansvaret og sige at de ikke har gjort noget.

3) Når en leverandør først har adgang til vedkommendes egen server, så kan de nemt "hoppe" fra server til server igennem remote access.

4) Man er manuelt nød til at aktivere AD kontoen hver gang leverandøren ønsker at komme på systemet.

Nu er mit forslag til alternativ løsning følgende:

Man kan opsætte en RADIUS server (f.eks. Microsofts IAS server) og kræve remote VPN access eller L2TP/IPSec adgang.

Og nu kommer de glimrende tegn på min manglende viden om hvordan IT-verden hænger sammen:

1) kan man efterfølgende opsætte politikker, sådan at leverandør1 f.eks. kun har adgang til vedkommendes egen server fra 7-12 i hverdagene, og hvor leverandør2 f.eks. har adgang til server2 24/7?

2) kan man i samme politik definere en timeout, således at en leverandør forbindelse automatisk bliver lukket når 1) overskrives, eller når der ikke har være aktivitet i f.eks. 2 timer?

3) kan man på nogen måde lave en optagelse af hvad de forskellige leverandøre laver på deres servere? og her tænker jeg ikke kun på auditing af alt hvad de laver, for det vil jo ikke vise
om de f.eks. sletter alle selvforskyldte hændelser i logbogen på serveren.

4) Kan man på nogen måde begrænse en leverandørs adgang på en server? jeg tænker på at hvis nu en leverandør har et system liggende på en server, så skal leverandøren jo selvfølgelig have
adgang til at gøre hvad vedkommende vil med vedkommendes system, men derfor kan der jo godt ligge et andet system på samme server, som man ikke ønsker at leverandøren får adgang til, for så kan anden leverandør jo frasige sig alt ansvar, fordi andre har været inde og rode i deres system.

5) Findes der et remote access værktøj udover f.eks. IAS som både er sikkert, men som også kan recorde alt hvad de foretager sig, når de er logget på deres server?


Håber at jeg giver mening :-)
Avatar billede jens_bach Nybegynder
25. februar 2008 - 00:02 #1
mht authen. kan man bruge en rsa server, eller bedere kan du bruge en tacacs server der kan du ligge access-listter på en user.

1) ja det kan du godt to måder
  a) med/i din windows policy :)
  b) på netværket (vpn, eller timebase access-list)
 
2) men det med kontoen ikke har været aktiv i 2 timer bliver nok lidt svær og lave :)
3) du kan jo godt "optage" en rdp sesion
  ved at ligge et program på serveren (fx www.tsfactory.com ps jeg har ikke prøvet det) , eller gemme trafikken som er på netværket


4) hvis du skal lave det rigtig er der kun en måde og det er at sætte firewall op i mellem serverne, og give vær server et vlan ;)
til dette kan du jo bruge en asa 5510 securty plus eller derover

5) cisco's asa platform ;) men ligesom IAS kan du kun se netværks trafikken.

;) svar nok ? ;) eller ;)

mvh
jens bach
Avatar billede _psyduck_ Nybegynder
26. februar 2008 - 17:32 #2
Hej Jens,

Du har ret i at det er en måde at gøre det på, men jeg kan godt se at det næste projekt jeg skal have gang i bliver en CCNA bog, eftersom VLan, Asa & tacacs server er relativ sort snak for mig...

Jeg har kigget på www.tsfactory.com og det lader til at kunne bruges, omend jeg af en ven har ladet mig fortælle at at man også kan bruge en Citrix Access Gateway (http://www.citrix.com/English/ps2/demo.asp#top) og Citrix' projekt IRIS ovenpå, til at recorde en remote access, blot med den forskel at leverandøren her logger på en terminal server og videre herfra, istedet for direkte på deres server ude fra internettet.

Der er mange måde at gøre det på, men nu var det kun et tankespin fra min side af, så nu har jeg fred i sindet over at det kan lade sig gøre... Der er 200 point på vej til dig :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester