13-07-2008, 14:23
|
|
|
חבר מתאריך: 03.01.02
הודעות: 2,577
|
|
שלום,קשה לענות לך על השאלה בהתחשב שחסרים המון פרטים(כדוגמת תצורת RAS ,דרישות הצפנה של הארגון,התממשקות עם כלי ניהול אחרים,מדניות אכיפה ו-FW וכו').
אין פה שחור\לבן ובאבטחת מידע אין פתרונות קסם,מי שבוחר בזה צריך להבין שעליו לעבוד קשה.
מצחיק אותי מאוד שמנהל אבטחת מידע(לפי מה שאתה אומר) בוחר להשתמש באפליקציות Microsoft כ-Secure Client .
באופן עקרוני שום מוצר לא מגיע secure by default .
לדעתי הסיבה הפשוטה שהוא בחר ב-Terminal Service זה טעמי נוחות וניהול ושליטה מרכזי.
הרבה יותר קל לקנפג GPO מאשר להתעסק במשהו שבחיים אותו אדם לא נגע בו.
הרבה יותר קל לקנפג(config) מכונה בעלת פלטפורמת Server 2003\2008 מאשר מכונה שעליה מותקן שרת :Linux\דמוית UNIX .
אני לא יודע על סמך מה הוא מתבסס באומרו שפתרון TS הרבה יותר מאובטח,והאם הוא אכן מבצע סקרים אבל התגלו גם לא מעט Vulnerability ל-RDP .
עקרונית ניתן להגיע לרמות אבטחה זהות ב-2 המוצרים.
לדוגמה ,באותה מידה שאני יכול להשתמש בחיבור VPN מאובטח (מוצפן באמצעות SSL\IPSec) אני יכול לבצע tunnel ל VNC באמצעות פרוטוקל SSH.
בכל אופן, אתם הלקוחות לא אמורים להרגיש בהבדל ,אתם צריכים לקבל את הגישה ההרשאות המתאימות בצורה המאובטחת ביותר.
EventHorizon - אני אכן מסכים איתך כי הבונוס של שרת Terminal Service הוא אנטגרציה מלאה מול ה-Active Directory שזה אכן מקל על החיים בצורה משמעותית .
אבל בנוגע לאמירה:
"במקרה של VNC, אני מניחה שכל אחד בחברה דופק איזו סיסמא שבא לו (אם בכלל) ונגמר הסיפור.
אין לבחורצ'יק יכולת לאכוף שום דבר, אין לו יכולת לתעד פעילות... כלום."
זה לא בדיוק ככה, מנהל אבטחת מידע נורמלי ידאג תמיד שיהיה לו סוג של קונסול ניהול.
לאחורנה גילתי שהדבר אכן קיים גם לפתרונות VNC מסחריים:
http://www.bozteck.com/vncscan
אגב GPO מצאתי משהו מענין שמתקשר ל-VNC,מענין אם זה אותו ממשק או גרופ פוליסי עצמאי.
http://www.bozteck.com/vncscan/inde...ow-to&Itemid=59
לגבי הביצועים RDP הוא אכן פרוטוקול מאוד מהיר אבל אני לא בטוח שהוא הכי מהיר.
אני לא זוכר בדיוק את הגרסה(אני מוכן לבדוק אם תרצי) יצא לי לקנפג את אחת הגרסאות של VNC והמהירות הייתה פשוט מטורפת , זה מאוד תלוי בקונפיגורציה שלך.
זוהי רק דעתי כמובן,אתם מוזמנים לחלוק עליי.
נערך לאחרונה ע"י sniffer בתאריך 13-07-2008 בשעה 14:48.
|