2

Следующая настройка:

Я хотел бы добавить компьютер (работающий под управлением windows server 2008 r2) в нашей домашней сети, чтобы этот компьютер имел доступ к Интернету и чтобы к нему можно было получить доступ (с полными правами администратора) извне (в частности, из другой страны) через RDP. Я хочу дать RDP доступ некоторым людям, которые будут поддерживать некоторые вещи для меня на этой машине и выполнять некоторые работы на ней на регулярной основе. Они также должны иметь полные права администратора для установки на эту машину все, что им нужно. Теперь - я доверяю этим людям в отношении задач, которые они будут выполнять, но не настолько, насколько я хотел бы пожертвовать безопасностью личных данных на других машинах в этой сети (особенно компьютерах членов моей семьи).

Итак - требования следующие:

  • компьютер под управлением Windows Server, физически расположенный у меня дома (потому что мне нужен постоянный физический доступ к нему, так как к нему подключены некоторые тестирующие устройства)
  • RDP-доступ с полными правами администратора на эту машину за пределами домашней сети
  • нет дополнительной угрозы безопасности для других компьютеров в домашней сети

Есть ли способ изолировать этот аппарат в сети, чтобы к нему можно было получить доступ через Интернет, но он не мог обмениваться данными с другими машинами в домашней сети?

любые советы приветствуются

4 ответа4

1

Способ сделать это с помощью оборудования потребительского уровня - использовать конфигурацию 3 маршрутизатора Y

Установив два маршрутизатора вверх с использованием той же подсети , а на другом "LAN" S невозможно одна сеть , чтобы говорить с другой сетью.

Подумайте об этом так: у вас есть компьютер в локальной сети A с IP-адресом 192.168.1.2 и новый сервер в локальной сети B с IP-адресом 192.168.1.3 . Если в локальной сети A вы запрашиваете 192.168.1.3 он направляется в маршрутизатор локальной сети A, видит, что это запрос для подсети 192.168.1.x и не пересылает пакет дальше по цепочке. Он также видит, что не знает ни о каком компьютере в 192.168.1.3 и сообщает исходному компьютеру "неизвестный хост назначения". Если мы запросим любой другой IP-адрес, кроме 192.168.1.x он будет использовать шлюз и перейдет к Интернету, чтобы попытаться разрешить ваше IP-соединение.

Для переадресации портов (например, с помощью приведенного выше изображения) вы должны перенаправить порт пересылки 3389 (порт RDP) на 192.168.0.102 на верхнем маршрутизаторе. Затем вы снова настраиваете переадресацию портов на правильном маршрутизаторе, чтобы 3389 переходил на любой IP-адрес нового сервера.

Это дает вам полную безопасность в вашей домашней сети.

0

Ну, я не уверен на 100% в этом, но при подключении к сети Windows Vista и более поздние версии (и соответствующие версии Sevrer) спрашивают вас, является ли сеть общедоступной, рабочей или домашней сетью. Если вы установите для него значение Public, у вас будет доступ к Интернету, но он не сможет получить доступ к любому другому ПК, подключенному к той же сети. Я не знаю, влияет ли это на RDP, или вы можете просто настроить брандмауэр и маршрутизатор, чтобы разрешить удаленный доступ. Попробуйте, чтобы увидеть, работает ли это. Если это работает, то это то, что вам нужно. Вы можете управлять компьютером удаленно, делать что-то, но сервер не может получить доступ к другим ПК, так как общий доступ к файлам отключен по умолчанию. В качестве другого варианта вы можете перейти на другие компьютеры и запретить любой доступ к серверу, используя его имя компьютера или IP-адрес. Я не знаю, как это сделать, возможно, из брандмауэра Windows.

0

Ключом к достижению уровня безопасности, который вы считаете достаточным, является реализация уровней защиты, как технической, так и процедурной:

Аутентификация - взаимная аутентификация устройств (по сертификату) помогает вам гарантировать, что только правильный клиент может подключиться к серверу, и что клиент знает, что он подключается к серверу

Разделение - поместите сервер в DMZ с подключением к Интернету, но без подключения к вашей сети. Чтобы создать эту демилитаризованную зону, вы можете использовать брандмауэры или маршрутизаторы со списками контроля доступа и настроить их так, чтобы запретить все подключения с этого сервера к чему-либо еще - разрешить только подключение от клиента к серверу (и его ответы возвращаются).

Патчирование - поддержание сервера (и брандмауэра) в актуальном состоянии предотвращает использование злоумышленниками известных уязвимостей для обхода контроля.

0

Да, это можно сделать. Поскольку вы находитесь дома и, возможно, у вас нет брандмауэров корпоративного уровня, лучше всего настроить NAT на маршрутизаторе, выходящем в Интернет, для переадресации портов RDP на компьютер, которому требуется доступ RDP. Таким образом, существует брандмауэр, защищающий его другие службы от доступа, если вы явно не разрешаете его (в этом и заключается прелесть NAT). Имейте два подключения в вашей домашней сети от вашего интернет-маршрутизатора: 1-й к компьютеру, обслуживающему RDP, и 2-й к другому маршрутизатору. Подключите второе соединение к интерфейсу WAN второго маршрутизатора (обычно с пометкой "Интернет"). Затем подключите ваши обычные домашние машины ко второму маршрутизатору (или к беспроводному интерфейсу второго маршрутизатора). Убедитесь, что маршрутизаторы находятся в разных подсетях, иначе у вас будут большие проблемы. Самая простая стратегия состоит в том, чтобы подключить маршрутизатор, подключенный к Интернету, к IP 192.168.1.1/24, а второй маршрутизатор - к 192.168.2.1/24. С этой настройкой вам просто нужно дать своим друзьям ваш интернет-адрес IP и попытаться RDP к нему. Интернет-маршрутизатор получит пакеты через порт RDP и перенаправит их в соответствующую систему. Поскольку система находится на стороне WAN второго маршрутизатора, она не сможет получить доступ ни к одной из систем, подключенных на стороне LAN второго маршрутизатора, поэтому ваши другие системы будут в безопасности.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .