3 votes

tacos_tacos_tacos avatar

Mettre en œuvre une forme de port knocking + Phone Factor = authentification à 2 facteurs pour RDP ?

Demandé el 4 de Septembre, 2012
Quand la question a-t-elle été
937 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je me suis penché sur la manière de sécuriser un point de terminaison RDP public et souhaite mettre en œuvre notre serveur d'authentification à deux facteurs RADIUS, PhoneFactor. J'aimerais mettre en œuvre le processus suivant :

  1. L'utilisateur ouvre une application web dans son navigateur
  2. Dans l'application web, l'utilisateur entre son nom d'utilisateur + mot de passe, déclenche l'authentification RADIUS
  3. Phone Factor appelle l'utilisateur pour finaliser l'authentification
  4. Une fois l'utilisateur authentifié, le port 3389 est ouvert sur l'IP de l'utilisateur sur le pare-feu pfSense.
  5. Après un certain laps de temps, la règle de pare-feu est supprimée pour cette IP

J'aimerais savoir ce qui suit :

  1. S'agit-il d'une configuration typique ? Si c'est une mauvaise idée, veuillez expliquer pourquoi.
  2. Si c'est possible, existe-t-il des packages qui facilitent cela ? Plus précisément, à l'étape trois, où la règle de pare-feu appropriée devrait être ajoutée...

Éditer : Je suis conscient de TS Web Gateway, mais je veux que les utilisateurs puissent utiliser le client RDP traditionnel...

Demandé el 4 de Septembre, 2012 par tacos_tacos_tacos

Réponse

Trop de publicités?

3voto

Izulle avatar
Izulle Points 75

Vous voulez examiner la configuration d'un serveur de stratégies réseau (NPS).

Le serveur de stratégies réseau (NPS) vous permet de créer et de faire respecter des politiques d'accès réseau à l'échelle de l'organisation pour la santé des clients, l'authentification des demandes de connexion et l'autorisation des demandes de connexion. De plus, vous pouvez utiliser NPS en tant que serveur d'authentification des utilisateurs à distance (RADIUS) pour transmettre les demandes de connexion à un serveur exécutant NPS ou à d'autres serveurs RADIUS que vous configurez dans des groupes de serveurs RADIUS distants.

Cela fait pratiquement exactement ce que vous recherchez, il vous suffit de connecter votre serveur RADIUS (PhoneFactor) au serveur NPS, puis de faire en sorte que le Bureau à distance utilise le NPS pour autoriser les connexions à distance.

Vous devrez également configurer une Passerelle de Bureau à distance, mais je pense que vous utilisiez le mauvais terme dans votre message initial, et vous ne faisiez pas référence au fait de ne pas vouloir configurer une passerelle RD, mais faisiez plutôt référence à l'Accès Web RD.

Répondu el 5 de Septembre, 2012 par Izulle (75 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X