آیا می‌خواهید سایت را به زبان دیگری ببینید؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغییر زبان
فهرست مطالب

معرفی

دسکتاپ از راه دور برای کارهای مدیریتی و بهره‌وری کاربران نهایی ضروری است، اما قرار دادن TCP/3389 در معرض اینترنت، حملات brute-force، استفاده مجدد از اعتبارنامه‌ها و اسکن آسیب‌پذیری‌ها را به همراه دارد. یک "VPN برای دسکتاپ از راه دور" RDP را دوباره در پشت یک مرز خصوصی قرار می‌دهد: کاربران ابتدا به یک تونل احراز هویت می‌کنند و سپس mstsc را به میزبان‌های داخلی راه‌اندازی می‌کنند. این راهنما معماری، پروتکل‌ها، استانداردهای امنیتی و یک جایگزین را توضیح می‌دهد: دسترسی مبتنی بر مرورگر TSplus که از قرار گرفتن در معرض VPN جلوگیری می‌کند.

TSplus دسترسی از راه دور آزمایشی رایگان

جایگزین نهایی Citrix/RDS برای دسترسی به دسکتاپ/برنامه. ایمن، مقرون به صرفه، محلی/ابری

شروع یک آزمایش رایگان

VPN برای دسترسی از راه دور چیست؟

یک VPN برای دسکتاپ از راه دور الگوی است که در آن کاربر یک تونل رمزگذاری شده به شبکه شرکتی ایجاد می‌کند و سپس کلاینت دسکتاپ از راه دور را به یک میزبان که تنها در زیرشبکه‌های داخلی قابل دسترسی است، راه‌اندازی می‌کند. هدف جایگزینی RDP نیست، بلکه محصور کردن آن است، به طوری که سرویس RDP برای اینترنت عمومی نامرئی باقی بماند و تنها توسط کاربران تأیید شده قابل دسترسی باشد.

این تمایز از نظر عملی اهمیت دارد. VPN را به عنوان ورود در سطح شبکه در نظر بگیرید (شما مسیرها و یک IP داخلی دریافت می‌کنید) و RDP را به عنوان دسترسی در سطح جلسه (شما بر روی یک ماشین ویندوز خاص با سیاست و حسابرسی فرود می‌آیید). نگه‌داشتن این لایه‌ها جدا، مشخص می‌کند که کجا باید کنترل‌ها را اعمال کرد: هویت و تقسیم‌بندی در مرز VPN و بهداشت جلسه و حقوق کاربر در لایه RDP.

چگونه RDP بر روی VPN کار می‌کند؟

  • مدل دسترسی: پذیرش شبکه، سپس دسترسی به دسکتاپ
  • نقاط کنترل: هویت، مسیریابی و سیاست

مدل دسترسی: پذیرش شبکه، سپس دسترسی به دسکتاپ

“VPN برای Remote Desktop” به این معنی است که کاربران ابتدا به یک بخش خصوصی شبکه دسترسی پیدا می‌کنند و تنها سپس یک جلسه دسکتاپ در آن باز می‌کنند. VPN یک هویت داخلی محدود (IP/مسیر یابی) را فراهم می‌کند تا کاربر بتواند به زیرشبکه‌های خاصی دسترسی پیدا کند که RDP میزبان‌ها به صورت زنده، بدون انتشار TCP/3389 به اینترنت. RDP توسط VPN جایگزین نمی‌شود؛ بلکه به سادگی توسط آن محدود می‌شود.

در عمل، این به وضوح نگرانی‌ها را جدا می‌کند. VPN تعیین می‌کند که چه کسی می‌تواند وارد شود و چه آدرس‌هایی قابل دسترسی هستند؛ RDP تعیین می‌کند که چه کسی می‌تواند به یک میزبان ویندوز خاص وارد شود و چه چیزی را می‌تواند هدایت کند (حافظه موقت، درایوها، چاپگرها). حفظ این لایه‌ها به وضوح طراحی را روشن می‌کند: در مرز احراز هویت کنید، سپس دسترسی به جلسه را در ماشین‌های هدف مجاز کنید.

نقاط کنترل: هویت، مسیریابی و سیاست

یک تنظیم صحیح سه نقطه کنترل را تعریف می‌کند. هویت: احراز هویت پشتیبانی شده توسط MFA کاربران را به گروه‌ها متصل می‌کند. مسیریابی: مسیرهای باریک (یا یک استخر VPN) محدودیت‌هایی برای زیرشبکه‌هایی که می‌توان به آن‌ها دسترسی پیدا کرد، ایجاد می‌کند. سیاست: قوانین فایروال/ACL فقط مجاز می‌سازند 3389 از بخش VPN، در حالی که سیاست‌های ویندوز حقوق ورود RDP و هدایت دستگاه را محدود می‌کنند. این دو به طور مشترک از قرار گرفتن گسترده در LAN جلوگیری می‌کنند.

DNS و نام‌گذاری تصویر را کامل می‌کند. کاربران نام‌های میزبان داخلی را از طریق DNS افقی تقسیم‌شده حل می‌کنند و به سرورها با نام‌های پایدار به جای IPهای شکننده متصل می‌شوند. گواهی‌نامه‌ها، ثبت‌نام و زمان‌های انقضا سپس ایمنی عملیاتی را اضافه می‌کنند: شما می‌توانید پاسخ دهید که چه کسی متصل شده، به کدام میزبان، به مدت چه زمانی—اثبات اینکه RDP در داخل مرز VPN خصوصی و تابع سیاست باقی مانده است.

خط‌مشی‌های امنیتی که باید اعمال شوند چیستند؟

  • MFA، حداقل دسترسی و ثبت‌نام
  • سخت‌افزار RDP، تونل‌سازی تقسیم‌شده و دروازه RD

MFA، حداقل دسترسی و ثبت‌نام

با اجرای احراز هویت چندعاملی در اولین نقطه ورود شروع کنید. اگر یک رمز عبور به تنهایی تونل را باز کند، مهاجمان به آن هدف خواهند گرفت. دسترسی VPN را به گروه‌های AD یا IdP متصل کنید و آن گروه‌ها را به سیاست‌های فایروال محدود متصل کنید تا فقط زیرشبکه‌های حاوی میزبان‌های RDP قابل دسترسی باشند و فقط برای کاربرانی که به آن‌ها نیاز دارند.

مرکزیت مشاهده‌پذیری. لاگ‌های جلسه VPN، رویدادهای ورود RDP و تلمتری دروازه را همبسته کنید تا بتوانید پاسخ دهید که چه کسی متصل شده، چه زمانی، از کجا و به کدام میزبان. این امر از آمادگی حسابرسی، طبقه‌بندی حوادث و بهداشت پیشگیرانه پشتیبانی می‌کند و حساب‌های غیرفعال، جغرافیای غیرعادی یا زمان‌های ورود غیرمعمولی که نیاز به بررسی دارند را آشکار می‌سازد.

سخت‌افزار RDP، تونل‌سازی تقسیم‌شده و دروازه RD

سطح احراز هویت شبکه را فعال نگه دارید، به‌طور مکرر وصله‌گذاری کنید و دامنه "اجازه ورود از طریق خدمات دسکتاپ از راه دور" را به گروه‌های مشخص محدود کنید. به‌طور پیش‌فرض، هدایت دستگاه‌های غیرضروری—درایوها، کلیپ بورد، چاپگرها یا COM/USB—را غیرفعال کنید و سپس فقط در موارد توجیه‌شده استثناهایی اضافه کنید. این کنترل‌ها مسیرهای خروج داده را کاهش می‌دهند و سطح حمله را درون جلسه کوچک می‌کنند.

به طور عمدی در مورد تونل‌زنی تقسیم تصمیم بگیرید. برای ایستگاه‌های کاری مدیر، ترجیحاً تونل کامل را اجباری کنید تا کنترل‌های امنیتی و نظارت در مسیر باقی بمانند. برای کاربران عمومی، تونل‌زنی تقسیم می‌تواند به عملکرد کمک کند اما ریسک را مستند کنید و تأیید کنید. DNS رفتار. در صورت لزوم، یک دروازه Remote Desktop را برای خاتمه RDP بر روی HTTPS لایه‌بندی کنید و یک نقطه MFA و سیاست دیگر اضافه کنید بدون اینکه پورت ۳۳۸۹ را در معرض خطر قرار دهید.

چک لیست پیاده‌سازی VPN برای دسترسی از راه دور چیست؟

  • اصول طراحی
  • عملیات و مشاهده

اصول طراحی

هرگز TCP/3389 را به اینترنت منتشر نکنید. اهداف RDP را در زیرشبکه‌هایی قرار دهید که تنها از یک استخر آدرس VPN یا یک دروازه سخت شده قابل دسترسی هستند و آن مسیر را به عنوان منبع واحد حقیقت برای دسترسی در نظر بگیرید. شخصیت‌ها را به حالت‌های دسترسی نگاشت کنید: مدیران ممکن است VPN را حفظ کنند، در حالی که پیمانکاران و کاربران BYOD از نقاط ورود واسطه‌ای یا مبتنی بر مرورگر بهره‌مند می‌شوند.

حداقل دسترسی را در طراحی گروه بگنجانید و قوانین فایروال از گروه‌های AD با نام‌های واضح برای حقوق ورود RDP استفاده کنید و آن‌ها را با ACLهای شبکه جفت کنید که محدود می‌کند چه کسی می‌تواند با کدام میزبان‌ها ارتباط برقرار کند. استراتژی DNS، گواهی‌نامه‌ها و نام میزبان را زودتر هماهنگ کنید تا از راه‌حل‌های شکننده‌ای که به مسئولیت‌های بلندمدت تبدیل می‌شوند، جلوگیری کنید.

عملیات و مشاهده

هر دو لایه را ابزار کنید. همزمانی VPN، نرخ‌های شکست و الگوهای جغرافیایی را ردیابی کنید؛ در میزبان‌های RDP، زمان‌های ورود، تأخیر جلسه و خطاهای هدایت را اندازه‌گیری کنید. لاگ‌ها را به یک SIEM با هشدارهایی در مورد الگوهای حمله‌ی brute-force، شهرت عجیب IP یا افزایش ناگهانی در تلاش‌های ناموفق NLA برای تسریع پاسخ ارسال کنید.

انتظارات مشتریان را استاندارد کنید. یک ماتریس کوچک از نسخه‌های سیستم‌عامل/مرورگر/کلاینت RDP پشتیبانی‌شده نگه‌داری کنید و کتابچه‌های راهنمای سریع برای مقیاس‌بندی DPI، ترتیب چند مانیتور و هدایت چاپگر منتشر کنید. وضعیت تونل تقسیم‌شده، لیست‌های استثنا و سیاست‌های زمان‌خواب بی‌کار را به‌صورت سه‌ماهه بررسی کنید تا ریسک و تجربه کاربری در تعادل باقی بماند.

چه گزینه‌های رایج VPN برای RDP می‌تواند باشد؟

  • سیسکو سکور کلاینت
  • سرور دسترسی OpenVPN
  • سونیک وال نت اکستندر

کلاینت امن سیسکو (AnyConnect) با ASA/FTD

AnyConnect سیسکو (اکنون Cisco Secure Client) بر روی دروازه‌های ASA یا Firepower (FTD) خاتمه می‌یابد تا VPN SSL/IPsec را با ادغام محکم AD/IdP ارائه دهد. شما می‌توانید یک استخر IP VPN اختصاصی تخصیص دهید، MFA را الزامی کنید و مسیرها را محدود کنید تا فقط زیرشبکه RDP قابل دسترسی باشد—در حالی که TCP/3389 را خصوصی نگه می‌دارید و لاگ‌ها و بررسی‌های وضعیت دقیقی را حفظ می‌کنید.

این یک جایگزین قوی برای "VPN برای RDP" است زیرا HA بالغ، کنترل تونل تقسیم/کامل و ACLهای دقیق را تحت یک کنسول ارائه می‌دهد. تیم‌هایی که بر روی شبکه‌سازی سیسکو استانداردسازی می‌کنند، عملیات و تلمتری ثابتی را به دست می‌آورند، در حالی که کاربران مشتریان قابل اعتمادی را در سیستم‌عامل‌های ویندوز، macOS و پلتفرم‌های موبایل دریافت می‌کنند.

سرور دسترسی OpenVPN

OpenVPN Access Server یک VPN نرم‌افزاری است که به‌طور گسترده‌ای مورد استفاده قرار می‌گیرد و پیاده‌سازی آن در محل یا در ابر آسان است. این نرم‌افزار از مسیریابی بر اساس گروه، احراز هویت چندعاملی و احراز هویت با گواهی پشتیبانی می‌کند و به شما این امکان را می‌دهد که فقط زیرشبکه‌های داخلی که میزبان RDP هستند را در معرض نمایش قرار دهید و 3389 را از اینترنت غیرقابل مسیریابی بگذارید. مدیریت مرکزی و در دسترس بودن قوی مشتری، استقرارهای چندسکویی را ساده می‌کند.

به عنوان یک جایگزین "VPN برای RDP"، در زمینه‌های SMB/MSP درخشان است: راه‌اندازی سریع دروازه‌ها، ورود کاربر به صورت اسکریپتی و ثبت‌نام ساده برای "چه کسی به کدام میزبان و چه زمانی متصل شد." شما برخی از ویژگی‌های سخت‌افزاری یکپارچه با فروشنده را برای انعطاف‌پذیری و کنترل هزینه معامله می‌کنید، اما هدف اساسی را حفظ می‌کنید—RDP در داخل یک تونل خصوصی.

SonicWall NetExtender / Mobile Connect با فایروال‌های SonicWall

نت‌اکستندر سونیک‌وال (ویندوز/macOS) و موبایل کانکت (موبایل) با فایروال‌های نسل جدید سونیک‌وال جفت می‌شوند تا VPN SSL را از طریق TCP/443، نگاشت گروه دایرکتوری و تخصیص مسیر به ازای هر کاربر ارائه دهند. شما می‌توانید دسترسی را به VLANهای RDP محدود کنید، احراز هویت چندعاملی را اجباری کنید و جلسات را از همان دستگاهی که امنیت لبه را اعمال می‌کند، نظارت کنید.

این یک جایگزین معروف "VPN برای RDP" است زیرا مسیریابی حداقل امتیاز را با مدیریت عملی در محیط‌های مختلط SMB/شعب ترکیب می‌کند. مدیران ۳۳۸۹ را از لبه عمومی دور نگه می‌دارند، تنها مسیرهای مورد نیاز برای میزبان‌های RDP را مجاز می‌کنند و از HA و گزارش‌دهی SonicWall برای برآورده کردن الزامات حسابرسی و عملیات استفاده می‌کنند.

چگونه TSplus Remote Access یک جایگزین امن و ساده است؟

TSplus دسترسی از راه دور نتیجه "VPN برای RDP" را بدون ایجاد تونل‌های وسیع شبکه ارائه می‌دهد. به جای اعطای مسیر به کاربران برای کل زیرشبکه‌ها، دقیقاً آنچه را که نیاز دارند—برنامه‌های خاص ویندوز یا دسکتاپ‌های کامل—از طریق یک پورتال وب HTML5 امن و برند شده منتشر می‌کنید. RDP خام (TCP/3389) در پشت TSplus Gateway خصوصی باقی می‌ماند، کاربران احراز هویت می‌شوند و سپس مستقیماً به منابع مجاز از هر مرورگر مدرن در ویندوز، macOS، لینوکس یا کلاینت‌های نازک دسترسی پیدا می‌کنند. این مدل حداقل امتیاز را حفظ می‌کند و تنها نقاط پایانی برنامه یا دسکتاپ را در معرض نمایش قرار می‌دهد، نه LAN.

عملیاتی، TSplus استقرار و پشتیبانی را نسبت به VPNهای سنتی ساده می‌کند. هیچ توزیع کلاینت VPN برای هر کاربر وجود ندارد، موارد حاشیه‌ای مسیریابی و DNS کمتری وجود دارد و تجربه کاربری ثابتی که تعداد تیکت‌های کمک‌خواهی را کاهش می‌دهد. مدیران به‌طور مرکزی مجوزها را مدیریت می‌کنند، دروازه‌ها را به‌صورت افقی مقیاس‌پذیر می‌کنند و ردپای روشنی از اینکه چه کسی به کدام دسکتاپ یا برنامه و چه زمانی دسترسی پیدا کرده است، حفظ می‌کنند. نتیجه، ورود سریع‌تر، سطح حمله کوچکتر و عملیات روزمره قابل پیش‌بینی برای جمعیت‌های داخلی مختلط، پیمانکار و BYOD است.

نتیجه

قرار دادن یک VPN در مقابل RDP یک مرز خصوصی را بازمی‌گرداند، MFA را تحمیل می‌کند و در عین حال بدون پیچیده کردن کار روزانه، قرار گرفتن در معرض را محدود می‌کند. طراحی برای حداقل امتیاز، هر دو لایه را ابزارسازی کنید و ۳۳۸۹ را از اینترنت دور نگه دارید. برای کاربران مختلط یا خارجی، TSplus یک راه‌حل امن مبتنی بر مرورگر ارائه می‌دهد. راه حل دسترسی از راه دور با عملیات سبک‌تر و قابلیت حسابرسی تمیزتر.

اشتراک:

فیسبوک توییتر لینکداین

تیم TSplus شما

مطالعه بیشتر

TSplus Remote Desktop Access - Advanced Security Software

سرور VM چیست؟ نحوه عملکرد، مزایا و بهترین شیوه‌ها

بیاموزید که سرور VM چیست، هایپر وایزرها چگونه کار می‌کنند، انواع مجازی‌سازی‌ها، مزایا، معایب و بهترین شیوه‌ها. ببینید چه زمانی TSplus Remote Access می‌تواند سرورهای VM را برای تحویل امن برنامه‌ها جایگزین یا تکمیل کند.

مقاله را بخوانید
back to top of the page icon