实现一种端口敲击 + 电话因素 = RDP 的 2 因素身份验证?

实现一种端口敲击 + 电话因素 = RDP 的 2 因素身份验证?

我一直在研究如何保护公开可用的 RDP 端点,并希望实现我们的双因素身份验证 RADIUS 服务器 PhoneFactor。我想实现以下流程:

  1. 用户在浏览器中打开 Web 应用
  2. 在 Web 应用中,用户输入用户名 + 密码,启动 RADIUS 身份验证
  3. 电话因素呼叫用户完成身份验证
  4. 一旦用户通过身份验证,防火墙就会在用户 IP 上打开端口 3389 pfSense
  5. 一段时间后,该 IP 的防火墙规则将被删除

我想要了解以下信息:

  1. 这是典型设置吗?如果这不是一个好主意,请解释原因。
  2. 如果可能的话,是否有任何软件包可以帮助实现这一点?具体来说,第三步需要添加适当的防火墙规则...

编辑:我知道 TS Web Gateway,但我希望用户能够使用传统的 RDP 客户端……

答案1

你想看看如何建立一个网络策略服务器 (NPS)

网络策略服务器 (NPS) 允许您创建并强制实施组织范围内的网络访问策略,以保证客户端健康、连接请求身份验证和连接请求授权。此外,您还可以使用 NPS 作为远程身份验证拨入用户服务 (RADIUS) 代理,将连接请求转发到运行 NPS 的服务器或您在远程 RADIUS 服务器组中配置的其他 RADIUS 服务器。

它基本上完全按照您的要求进行操作,只需将您的 RADIUS 服务器(PhoneFactor)连接到 NPS 服务器,然后让远程桌面使用 NPS 来授权远程连接。

您需要设置一个远程桌面网关另外,但我认为你在原帖中使用了错误的术语,你指的不是不想设置 RD 网关,而是指RD Web 访问

相关内容