Bonjour a tous,
 
je doit rapidement sécuriser une infra basée sur x serveurs RDP (dont des vieillissants 2003) exposés directement sur internet par du PAT.
 
Je voulais dans un premier temps agir au niveau du fw d'entrée pour limiter la provenance (filtrage ip source) des clients mais impossible car fw en bois et clients avec ip dynamiques ...
Bien sur impossible de tout remettre à plat rapidement et bien sur hors de question de couper les accès donc je veux sécuriser en l'etat pour après avoir le temps de tout refaire correctement.
 
Donc autre solution c'est la mise en place d'une gateway RDP avec un OS supporté et une authentification forte.
Je n'ai pas de droit d'admin ni d'accès aux postes utilisteaurs qui peuvent être sur n'importe quel OS dont mac.
 
J'en arrive a la conclusion qu'une solution pourrait etre une mise en place d'une authentification par deux facteurs sur la passerelle RDP qui fonctionnerais sans installation sur le poste client.
Il existe des 2FA qui s'appuient sur un smartphone, sur les SMS, sur les mails, sur un appel tel voix automatisé, sur des OTP générés par calculatrice, appli .... Bref les solutions sont nombreuses.
 
Pouvez-vous me conseiller sur un fournisseur sérieux et abordable pour ce type de solution ??? (j'ai déjà plus d'une 15 d'editeurs mais je ne trouve pas de retours d'expérience convaincants)
 
Voyez-vous un autre moyen de m'en sortir sur du court terme ?
 
Merci d'avance.

mettre un vpn ?

 
oui c'etait ma premiere idéé mais un VPN avec des clients très heterogenes et sans etre admin des machines distantes (donc pas d'installation) ni de leur réseau eux aussi heterogenes (box particulier, box pro, campus ...)
il me reste quelle techno de VPN ? PPTP ? très limite question sécurité ...
 
 
 

En même temps, de la sécurité sur une archi 2003 avec du PAT...tu ne peux pas faire pire non ?

 
c'est l'existant que je reprend.
 
L'idée dans l'urgence est d'isoler les 2003 du net au travers d'une passerelle RDP avec un OS recent et supporté.
Plus, pour palier à l'impossibilité de VPN ou de filtrage sur l'ip source, de rajouter un second facteur d'authentification sur la paserelle RDP.
 
Ceci à très court terme, pour protéger l'infra existante le temps de finir la réécriture de l'appli qui nous bloque en 2003.
 
Maintenant je suis preneur de toute autre piste ...
 
Pour en revenir à la question initiale, je suis en plein test de www.duo.com et c'est extremement facile à mettre en oeuvre et gratuit jusqu'a 10 utilisateurs et avec des tarifs très raisonnables au delà. Par contre aucune idée de la pérennité de la boite. Dans mes recherche j'ai trouvé plusieurs solutions de ce type dont les boites ont déjà fermées ... J'attend aussi une proposition de RSA mais la je m'attend à du lourd coté facturation.