Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ced
"vv" a écrit :
Bonjour,
Je me pose la question suivante pour l'installation d'un 2K3 en terminal Server.
Le mode TSE sera utilisé depuis un site distant via une connexion internet.
- Soit j'ouvre les ports TSE du serveur sur le routeur et du site distant on tape directement le serveur en TSE.
- Soit on crée un tunnel VPN jusqu'au routeur et ensuite on ouvre la session TSe par le VPN.
La deuxième solution est plus sécurisée, j'imagine.
Mais que vaut la première solution au niveau de la sécurité ? En gros, c'est bien, moyen ou nul ?
Les deux solutions sont bonnes (bien que le vpn soit mieux! ) et dépendent de ton client. Ce qui est clair, c'est que si tu ouvres le port TSE, il faudra "bloquer" l'IP source de la personne qui se connecte pour éviter que n'importe qui puisse "tester" ton TSE. De ce coté là le VPN est impec pour donner accès TSE à un itinérant !
Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné si ses com sont en TSE "clair" ??
"vv" a écrit :
Bonjour,
Je me pose la question suivante pour l'installation d'un 2K3 en terminal
Server.
Le mode TSE sera utilisé depuis un site distant via une connexion internet.
- Soit j'ouvre les ports TSE du serveur sur le routeur et du site distant on
tape directement le serveur en TSE.
- Soit on crée un tunnel VPN jusqu'au routeur et ensuite on ouvre la session
TSe par le VPN.
La deuxième solution est plus sécurisée, j'imagine.
Mais que vaut la première solution au niveau de la sécurité ? En gros, c'est
bien, moyen ou nul ?
Les deux solutions sont bonnes (bien que le vpn soit mieux! ) et dépendent
de ton client. Ce qui est clair, c'est que si tu ouvres le port TSE, il
faudra "bloquer" l'IP source de la personne qui se connecte pour éviter que
n'importe qui puisse "tester" ton TSE. De ce coté là le VPN est impec pour
donner accès TSE à un itinérant !
Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné
si ses com sont en TSE "clair" ??
Je me pose la question suivante pour l'installation d'un 2K3 en terminal Server.
Le mode TSE sera utilisé depuis un site distant via une connexion internet.
- Soit j'ouvre les ports TSE du serveur sur le routeur et du site distant on tape directement le serveur en TSE.
- Soit on crée un tunnel VPN jusqu'au routeur et ensuite on ouvre la session TSe par le VPN.
La deuxième solution est plus sécurisée, j'imagine.
Mais que vaut la première solution au niveau de la sécurité ? En gros, c'est bien, moyen ou nul ?
Les deux solutions sont bonnes (bien que le vpn soit mieux! ) et dépendent de ton client. Ce qui est clair, c'est que si tu ouvres le port TSE, il faudra "bloquer" l'IP source de la personne qui se connecte pour éviter que n'importe qui puisse "tester" ton TSE. De ce coté là le VPN est impec pour donner accès TSE à un itinérant !
Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné si ses com sont en TSE "clair" ??
vv
> Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné si ses com sont en TSE "clair" ??
Non, ça c'est pas ce qui m'inquiète. C'est plus que le serveur reste protégé correctement par rapport à internet puisque le port TSe sera visible.
> Après c'est une histoire de cryptage, ton client risque-t-il d'être
espionné
si ses com sont en TSE "clair" ??
Non, ça c'est pas ce qui m'inquiète.
C'est plus que le serveur reste protégé correctement par rapport à internet
puisque le port TSe sera visible.
>> Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné si ses com sont en TSE "clair" ??
Non, ça c'est pas ce qui m'inquiète. C'est plus que le serveur reste protégé correctement par rapport à internet puisque le port TSe sera visible.
Alors deux solutions : - l'ip du client est fixe -> une access-list pour n'accepter le traffic tse que de cette personne - VPN
Laurent Falguière [MVP]
Bonjour,
Comme l'a dit Cédric, le port 3389 directement translaté ouvre la porte à un attaque brute force (les outils existent et sont largement diffusés) ou à un deni de service, SAUF si on limite l'accès des adresses IP source clairement identifiées (donc fixes)... L'autre solution (hors VPN), c'est d'utiliser Windows 2008 et TS Gateway (du RDP encapsulé dans du SSL)..
-- -- Laurent FALGUIERE MVP Windows Server - Terminal Server www.laurentfalguiere.fr "vv" a écrit dans le message de news:
Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné si ses com sont en TSE "clair" ??
Non, ça c'est pas ce qui m'inquiète. C'est plus que le serveur reste protégé correctement par rapport à internet puisque le port TSe sera visible.
Bonjour,
Comme l'a dit Cédric, le port 3389 directement translaté ouvre la porte à un
attaque brute force (les outils existent et sont largement diffusés) ou à un
deni de service, SAUF si on limite l'accès des adresses IP source clairement
identifiées (donc fixes)... L'autre solution (hors VPN), c'est d'utiliser
Windows 2008 et TS Gateway (du RDP encapsulé dans du SSL)..
--
--
Laurent FALGUIERE
MVP Windows Server - Terminal Server
www.laurentfalguiere.fr
"vv" <truc@toto.fr> a écrit dans le message de
news:ODilYfxIJHA.4240@TK2MSFTNGP03.phx.gbl...
Après c'est une histoire de cryptage, ton client risque-t-il d'être
espionné
si ses com sont en TSE "clair" ??
Non, ça c'est pas ce qui m'inquiète.
C'est plus que le serveur reste protégé correctement par rapport à
internet puisque le port TSe sera visible.
Comme l'a dit Cédric, le port 3389 directement translaté ouvre la porte à un attaque brute force (les outils existent et sont largement diffusés) ou à un deni de service, SAUF si on limite l'accès des adresses IP source clairement identifiées (donc fixes)... L'autre solution (hors VPN), c'est d'utiliser Windows 2008 et TS Gateway (du RDP encapsulé dans du SSL)..
-- -- Laurent FALGUIERE MVP Windows Server - Terminal Server www.laurentfalguiere.fr "vv" a écrit dans le message de news:
Après c'est une histoire de cryptage, ton client risque-t-il d'être espionné si ses com sont en TSE "clair" ??
Non, ça c'est pas ce qui m'inquiète. C'est plus que le serveur reste protégé correctement par rapport à internet puisque le port TSe sera visible.
