Tse + VPN ou TSE seul ?

Le
vv
Bonjour,

Je me pose la question suivante pour l'installation d'un 2K3 en terminal
Server.

Le mode TSE sera utilisé depuis un site distant via une connexion internet.

- Soit j'ouvre les ports TSE du serveur sur le routeur et du site distant on
tape directement le serveur en TSE.

- Soit on crée un tunnel VPN jusqu'au routeur et ensuite on ouvre la session
TSe par le VPN.

La deuxième solution est plus sécurisée, j'imagine.

Mais que vaut la première solution au niveau de la sécurité ? En gros, c'est
bien, moyen ou nul ?

Merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Ced
Le #17381681
"vv" a écrit :

Bonjour,

Je me pose la question suivante pour l'installation d'un 2K3 en terminal
Server.

Le mode TSE sera utilisé depuis un site distant via une connexion internet.

- Soit j'ouvre les ports TSE du serveur sur le routeur et du site distant on
tape directement le serveur en TSE.

- Soit on crée un tunnel VPN jusqu'au routeur et ensuite on ouvre la session
TSe par le VPN.

La deuxième solution est plus sécurisée, j'imagine.

Mais que vaut la première solution au niveau de la sécurité ? En gros, c'est
bien, moyen ou nul ?




Les deux solutions sont bonnes (bien que le vpn soit mieux! ) et dépendent
de ton client. Ce qui est clair, c'est que si tu ouvres le port TSE, il
faudra "bloquer" l'IP source de la personne qui se connecte pour éviter que
n'importe qui puisse "tester" ton TSE. De ce coté là le VPN est impec pour
donner accès TSE à un itinérant !

Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné
si ses com sont en TSE "clair" ??
vv
Le #17384321
> Après c'est une histoire de cryptage, ton client risque-t-il d'être
espionné
si ses com sont en TSE "clair" ??



Non, ça c'est pas ce qui m'inquiète.
C'est plus que le serveur reste protégé correctement par rapport à internet
puisque le port TSe sera visible.
Cédric
Le #17388181
>> Après c'est une histoire de cryptage, ton client risque-t-il d'être
espionné
si ses com sont en TSE "clair" ??



Non, ça c'est pas ce qui m'inquiète.
C'est plus que le serveur reste protégé correctement par rapport à
internet puisque le port TSe sera visible.



Alors deux solutions :
- l'ip du client est fixe -> une access-list pour n'accepter le traffic
tse que de cette personne
- VPN
Laurent Falguière [MVP]
Le #17398511
Bonjour,

Comme l'a dit Cédric, le port 3389 directement translaté ouvre la porte à un
attaque brute force (les outils existent et sont largement diffusés) ou à un
deni de service, SAUF si on limite l'accès des adresses IP source clairement
identifiées (donc fixes)... L'autre solution (hors VPN), c'est d'utiliser
Windows 2008 et TS Gateway (du RDP encapsulé dans du SSL)..

--
--
Laurent FALGUIERE
MVP Windows Server - Terminal Server
www.laurentfalguiere.fr
"vv" news:

Après c'est une histoire de cryptage, ton client risque-t-il d'être
espionné
si ses com sont en TSE "clair" ??



Non, ça c'est pas ce qui m'inquiète.
C'est plus que le serveur reste protégé correctement par rapport à
internet puisque le port TSe sera visible.



Publicité
Poster une réponse
Anonyme