Rdp over internet

[vitus_wagner]

Вот интересно, а считается ли в наше время безопасным пускать протокол RDP (который подключение к удаленному рабочему столу) через публичные сети без VPN и прочих криптотуннелей?
А если да, то с какой аутентификацией?
Впрочем, я все равно не нашел как к xrdp прикрутить аутентификацию по сертификатам.
Да, пожалуй пора тэг windows или m$ заводить.

Comments

[tattler.livejournal.com]

Если не ошибаюсь, MS выпустил (или на днях выпустит) RDP-клиента для ведроида.

[vitus_wagner]

Ну, rdp-клиентов для не-ms систем и без ms хватает. Вот если б они rdp-сервер для андроида выпустили..

[shadowfoto.livejournal.com]

есть мнение, что такое практически нереально из-за специфики самого RDP. ну то есть может и получится, но скорее всего будет как "VNC реализованый средствами rdp"

[vitus_wagner]

Ну xrdp же сделали. Конечнл, черех vnc-сервер он работает лучше, но ведь работает и без него. А нужен он в основном для того чтобы ходить с винды на планшет удобным родным виндовым rdp-клиентом.

[shadowfoto.livejournal.com]

в свое время играясь с xrdp, пришел к выводу что если нет жесткой цели "ходить вон туда по RDP", то лучше обойдусь ssh/Xwin, либо VNC. тем более что тогда была, что сейчас с новомодными устройствами вылезет проблема когда у сервера случайно разрешение экрана будет больше клиентского.

в случае с дроидом, впрочем, будет и чисто программная проблема - мультитач и способ не особо обременительной его реализации на компе.


PS: подумалось, если wayland/mir/итд "выстрелят", то не родит ли кто к ним rdp-сервер более близкий по реализации к винде?

[vitus_wagner]

А я в свое время пришел к выводу, что если можно использовать что-то включенное в дистрибутив винды, то лучше использовать его, а не ставить сторонний софт.
Сторонний софт лучше ставить на более робастные системы. Тем более что для Debian xrdp вовсе не сторонний софт, а часть дистрибутива.

Проблема же с разрешением экрана возникнет независимо от протокола доступа.
Правда, что у нормальных GUI-сред в Linux, что у Android это не проблема. Они умеют менять разрешение на лету.

[volodymir-k.livejournal.com]

> вылезет проблема когда у сервера случайно разрешение экрана

весь код доступен, можно исправить

там вопрос постановочный -- если юзер наоткрывал сессий 20 штук в разное время, то в какую входить после логина
по уму надо давать юзеру список, пусть сам определится; кода там -- чисто X гуй + 2 КБ логики

но китайские разрабы там адские, и код у них адский

[shadowfoto.livejournal.com]

это если он цепляется к старой сессии. а если он Xrdp подцепил чтоб к текущему залогиненому пользователю ходить? у меня вот вполне было, что на одной машинке 1600х1200, а ходить хотелось с 1024х600. и именно к УЖЕ запущенному инстансу.

[t-mike.livejournal.com]

биндить к lo и прокидывать через ssh?

[vitus_wagner]

Куда биндить я найду. Есть локальная сеть, есть виртуальные сети virt-managerа. Но single signon уже не будет.

[eldhenn]

>пора тэг windows или m$ заводить

Лучше mustdie.

[qkowlew.livejournal.com]

я лично только через ssh тунель рдп пробрасываю.

[pishi-chitai.livejournal.com]

Да все так. Мне вообще кажется, что таких большинство.

Не по причине особого ума даже, просто в любой инфраструктуре обычно наружу светится лишь какой-нибудь пограничный роутер, ну и воленс-неволенс..

[qkowlew.livejournal.com]

Сейчас поднял голову TeamViewer - для конечного пользователя он настолько прост и понятен, что я уже оказался вынужден с несколькими клиентами работать только через него.

Хотя совершенно очевидно, что это вынужденное доверие "ещё одному анальному рабовладельцу".

[shadowfoto.livejournal.com]

с одной стороны доверие - а с другой, что у нас еще из массового и тупого умеет nat traversal?

[hungry-ewok.livejournal.com]

Ammyy Admin. Те же яйца, вид в профиль.

[ext_1684112 (from livejournal.com)]

И тормоз-ззза лютейшие. И не проброс сочетаний клавиш.

[vitus_wagner]

Ну так жалко же один и тот же траффик дважды через одну и ту же криптобиблиотеку пропускать.

[maxim voronin (from livejournal.com)]

RDP внутри себя использует Kerberos/TLS для шифрования. Так что при сильном пароле дополнительно шифровать ничего не надо.

[vitus_wagner]

Я как бы в курсе, что там за шифрование. Вопрос в том, доверяют ли этому шифрованию практики, и как бы прикрутить тудаа аутентификацию получше, чем по паролю, не выставляя в сеть еще 28 сервисов.

[maxim voronin (from livejournal.com)]

Ну а чем вам TLS не достоин доверия? Вполне себе нормальный протокол шифрования.
Аутентификация возможна через Kerberos. Оно, конечно, та ещё жопа, но сертификаты поддерживает.

[pargentum.livejournal.com]

А будет ли этот керберос вне доменадерева AD? Что-то я сомневаюсь. Во всех остальных случаях винда вне дерева откатывается на простой советский NTLM, наверное и в случае RDP должна.

[maxim voronin (from livejournal.com)]

Цербера можно ставить и без АДа. Правда, как я уже сказал, та ещё жопа.

[volodymir-k.livejournal.com]

> Что-то я сомневаюсь

он на юниксах и родился
аж в 80-х
современный в 1993 году
и нет, не в виндовз 2.0

> Во всех остальных случаях винда вне дерева откатывается

не откатывается, если сказать "не откатываться" на первом же экране инсталлятора
а вот как приучить клиента юзать керберос вне домена -- да

[pargentum.livejournal.com]

Давно не разворачивал винду с дистрибутива, все больше клонированием. Но что-то не припомню там такого.
Или вы про Win8?

[vitus_wagner]

Наверное: это про какой-нибудь сервер 2008 или 2012.

[pargentum.livejournal.com]

У 2008 и 2008RC2 я тоже такого не помню.

[vitus_wagner]

Что-то на технете пишут, что в RDP авторизация по сертификатам только через смарткарту. Путем проброса смарткарты на сервер, а тот уже по ней логинится как через локальный считыватель.

Это немножко не то. чего хотелось бы добиться.

[maxim voronin (from livejournal.com)]

Хм. Возможно.
А я тут подумал - нету ли провайдера "софтовая смарткарта", которая тупо сертификат?

[avnik.livejournal.com]

А может дешевле таки запинать под wine то, из за чего городится винда?

[vitus_wagner]

Я вообще тут расширением кругозора занимаюсь. По результатам предыдущего поста вон XnView себе под Linux поставил.

И RDP, возможно в итоге будет ходить rdesktop-ом на xrdp.

[poor-sysadm.livejournal.com]

для выпускания в интернет сейчас рекомендуется NLA включать

[grayowl.livejournal.com]

может пригодится
http://www.atraining.ru/windows-rdp-tuning/

[vitus_wagner]

Интересно, спасибо.

[volodymir-k.livejournal.com]

кстати есть вариант внешних аутентикаторов RDP по телефону/пасскоду
google://rdp otp integration

[vitus_wagner]

Народу не нужна нездоровая паранойя. Народу нужна здоровая паранойя.
Использование публичных ключей для аутентификации - это здоровая паранойя. OTP - нездоровая. поскольку сильно снижает юзабилити.

[ext_1684112 (from livejournal.com)]

Безопасно. По известному приниципу защиты Неуловимого Джо и нестандартного порта.

[iskatel.livejournal.com]

Сам по себе RDP , как и соотв. виндовый сервис, вполне безопасная штука. Но если нет возможности контролировать установку обновлений, общее состояние рабочих станций, а также парольную политику, то лучше использовать отдельный VPN сервис, с ключами.

[vitus_wagner]

Каких таких рабочих станций? В смысле чтобы юзерам кейлоггер не влепили?
Ну и собственно речь о том, что "парольной политики" хотелось бы избежать совсем, используя аутентификацию по сертификатам. Но без затрат денег на счтиыватели смарткарт.