Remote Desktop, tunneling et SSH.

Remote Desktop, tunneling et SSH. - Windows & Software

Marsh Posté le 23-09-2004 à 15:23:36    

Je souhaite accéder à un RemoteDesktop sur un serveur, en passant par le port 80 et en cryptant l'échange entre les 2 RDP.
 
Au départ, je pensais utiliser le RDP client, le passer dans une moulinette SSH et tunneler l'ensemble jusqu'au serveur.
 
Ma question c'est comment fait-on et quel soft proposez vous ?
 
Ne serait-il pas plus facile d'utiliser la version web de RDP (qui passe par un activeX si je me trompe pas) sur du https.
 
Quel est le meilleur rapport (facilité d'exploit)/(sécurité) ?
 
Merci pour l'aide.

Reply

Marsh Posté le 23-09-2004 à 15:23:36   

Reply

Marsh Posté le 23-09-2004 à 17:21:43    

UP

Reply

Marsh Posté le 23-09-2004 à 18:05:10    

RDP utilise le port 3389 par défaut, changer ce port équivaut à du bricolage dans la registry.
 
Pour la version Web il s'agit effectivement d'un contrôle ActiveX qui établit ensuite la connexion sur le port 3389... donc utiliser https ne fera que sécuriser le téléchargement du contrôle.
 
Si la sécurité est une préoccupation majeure je pense que la mise en palce d'un VPN est une meilleure solution.

Reply

Marsh Posté le 23-09-2004 à 19:58:08    

Merci pour la réponse.
 
J'avais cru comprendre que le tunnelong permettait justement de prendre le flux du port 3389 et le rebalancer vers le port 80 du serveur ?
 
Sinon le https ne sécurise pas l'échange de données de l'activeX client vers le serveur ?

Reply

Marsh Posté le 23-09-2004 à 20:20:01    

Non ce n'est pas exact...
 
Le principe du tunneling c'est que le tunnel peut se faire sur n'importe quel port (bien qu'il existe des ports par défaut), ca pourra par exemple passer un firewall, toutefois ce ne sera pas suffisant pour contourner un proxy ou un firewall applicatif :
 
hôte <- réseau privé (données en clair) -> (dé)cryptage <- transite réseau publique (données cryptées) -> (dé)cryptage <- réseau privé (données en clair) -> hôte
 
Le but n'étant pas que le client ou le serveur utilise un autre port, le but étant qu'à un moment donné le traffic qui doit transiter sur un réseau publique soit encapsulé et crypté pour passer d'un point à un autre.
 
C'est ce que proposent un tunnel SSH ou VPN. Le crpytage peut être réalisé à meêm la machine avec un soft adéquat ou par certains firewall qui gèrent directement les connexions VPN pour un ou plusieures hôtes du réseau.
 
HTTPS ne sécurise pas la connexion du contrôle activeX qui utilise RDP tout comme le client Remote Desktop traditionnel. L'avantage de ce contrôle est de pouvoir l'utiliser depuis une machine équipée de IE sans devoir faire une installation.
 
En ce qui me concerne j'utilise RDP pour adminsitrer des serveurs sans cryptage suppplémentaire, il faut savoir que RDP 5.0 utilise déjà un cryptage RSA RC4 de 40, 56 ou 128 bits... à mon avis un peu inutile de vouloir en ajouter une couche.

Reply

Marsh Posté le 23-09-2004 à 20:55:13    

Effectivement, je ne savais pas que RDP cryptait déjà les échanges. Cela m'enlève donc une épine du pied et il me faudrait juste décaler les ports de comm alors.
 
Par contre, pourquoi dis tu que ça ne permet pas de passer un proxy ? Le proxy analyse le contenu qui le traverse sur certain ports prédéfinis ?

Reply

Marsh Posté le 23-09-2004 à 21:04:46    

Un proxy reçoit les requêtes pour un protocole donné et les transmets plus loin en se substituant à l'hôte qui effectue la requête initiale.
 
Tu trouves donc des proxys HTTP qui permettent de surfer sur le web, HTTPS, FTP, ...
 
Un proxy est dépendant du protocole utilisé ! Par ailleurs il propose souvent des règles de filtrage pour le protocole en question, la possibilité de loguer l'activité ou encore de mettre en cache les données qui ont été demandée.
 
Un proxy est particulièrement efficace pour contrôler les accès au web d'une entreprise.
 
En inversant l'utilisation, c'est à dire mettre un relais pour les connexion à destination d'un de tes serveurs (= "Reverse Proxy" ) tu peux protéger de manière plus efficace un serveur sensé fournir un service sur internet, car si le "reverse proxy" ne reçoit pas des données valides il ne transmettera pas au véritable serveur.
 
Donc dire qu'un proxy analyse le contenu est correct.

Reply

Marsh Posté le 23-09-2004 à 21:08:59    

Encore une fois merci pour toutes ces explications qui m'ont apporté toutes les réponses dont j'avais besoin.
Je vais donc rester avec un RDP connecté via l'activeX et cela me suffira.

Reply

Marsh Posté le 13-07-2005 à 17:22:03    

Bonjour,
 
Question dans la même veine. J'utilise moi aussi RDP avec un tunneling SSH pour me connecter à un serveur hors du parc informatique que je gere.
 
Tout fonctionne correctement lorsque  je travail sous 2000pro et TSE, mais pour j'ai aussi des utilisateurs travaillant sous XP pro SP2.
 
Et c'est là que le bas blesse. Impossible de me connecter.
J'obtiens le message suivant : "Le client n'a pas pu se connecter. Vous êtes déjà connecter à la console de cet ordinateur. Une nouvelle session de la console ne peut être établie."
 
config : - client : XP PRO SP2
         - distant : WINDOWS SERVER 2003 STANDARD EDITION
 
PS : Cela pourrait-il venir d'une icompatibilité entre XP et 2003 ? voir avec le tunneling ? Car en interne nous utilisons WINDOWS SERVER 2000.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed