En strategi for bevaring av RWW funksjonalitet ved SSL/FIPS kryptering
Problemstillingen for dette avsnittet er todelt. For det første må vi se på hva som skjer med Remote Web Workplace når vi hever krypteringsnivået på RDP lytteren på SBS Server eller W2K3 terminalserveren. For det andre må vi utvikle en strategi for å håndtere tilpassningen. Men før vi går videre la meg forklare:
Figur 1 - I denne figuren ser vi begge typer av det dynamiske RWW webstedet. Til venstre ser vi Knowledge Worker Web Page og til høyre Administrator Web Page. Via RWW kan vi logge på SBS Server og terminalserveren i domenet på en trygg måte. En forklaring på dette finner du i denne artikkelen (Windows 2003 Terminalserver i SBS Server domene - Del 2 og Del 3).
RWW kan, ut av boksen, benyttes internt i Lan og fra internett. RWW benytter RDP lytteren på den aktuelle serveren forbindelsen skal opprettes til. RDP lytteren på SBS Serveren og/eller terminalserveren kan konfigureres til å bruke ulike sikkerhetsnivåer, men alle nivåer er ikke kompatible med RWW. Når vi bruker et sertifikat kan vi stille inn RDP lytteren til å bruke SSL for Security layer og FIPS Compliant som Encryption level. Kombinasjonen av SSL og FIPS er ikke kompatibel med RWW. For RWW kompabilitet må vi velge Negotiate for security layer og FIPS for Encryption level for å oppnå høyeste sikkerhet.
Figur 2 – Kombinasjonen av SSL / FIPS er ikke kompatibel med RWW.
Ulempen med å konfigurere Negotiate og FIPS på RDP lytteren er at vi da ikke kan tvinge klienten til å benytte sertifikatet for autentisering av server. Kombinasjonen av SSL og FIPS gir den beste sikkerheten, men RWW opphører å virke for den aktuelle RDP lytter. På den annen side ønsker vi så høy kryptering som mulig dersom vi ønsker å publisere RDP lytteren til internett, og vi ønsker å tvinge klienten til dette.
Dersom vi har både en SBS Server og en terminalserver har vi også problemstillingene forbundet med at routeren/brannmuren kun kan portforwarde en port pr ekstern IP adresse. Dette blir et problem dersom vil skal publisere flere RDP lyttere til internett, dvs både SBS Serveren og terminalserverens RDP lytter. Begge bruker port 3389 pr default. Det forholdet at begge bruker samme port kan vi komme rundt ved å endre portnummer. Men i det vi gjør dette kan ikke den aktuelle server kontaktes via RWW. Denne forutsetter at RDP lytteren benytter port 3389.
Figur 3 – Når serveren kontaktes med RDP klienten kan vi også få feilmelding fordi serveren kalles opp med forskjellige navn internt og eksternt. Dette forholdet er også avhengig av servernavnet i sertifikatet og den eksterne DNS innstilling, og routeren ved rekursiv DNS.
Løsningen er å opprette to RDP lyttere på alternative porter. Dette kan gjøres både på SBS Server og terminalserver (En løsning på dette finner du her Windows 2003 Terminalserver i SBS Server domene - Del 2). Dersom vi har opprettet to lyttere på de aktuelle servere kan vi publisere RDP lytterne med hard kryptering SSL/FIPS til internett. Parallelt bevarer vi funksjonaliteten i RWW i det denne benytter det andre settet med RDP lyttere som bruker port 3389. Vi kan også stille inn de respektive lyttere til å bruke forskjellig krypteringsnivåer og sertifikater for intern kommunikasjon og ekstern kommunikasjon. Vi kommer i det følgende ikke nærmere inn på dette, se etterfølgende tips.
Tips
Dersom du har Win95, Win98 og Win CE må du være oppmerksom på at du må bruke en kompatibel innstilling på RDP lytteren. Dette senker sikkerhetsnivået. To RDP lyttere med ulike innstillinger, en for internt bruk og en for eksternt bruk vil kunne løse dette problemet. Klienter med eldre versjoner av Windows kan da benyttes internt.
Figur 4 – I denne figuren har jeg forsøkt å illustrere mitt poeng fra avsnittet over, med to RDP lyttere pr server.
Tips
I disse artiklene kan du lese mer om opprettelse av flere RDP lyttere og sikkerhet i forbindelse med publisering. (Windows 2003 Terminalserver i SBS Server domene - Del 2 og Del 3). Der finner du også ranter om avdelingskontorer. |