Ist RDP selbst als "Gate" sicher?
Es handelt sich um den Einsatz eines abgeschirmten Terminalservers wobei nur der Port 3389 von der Firewall an den Server weitergereicht wird.
Hallo,
mich interessiert ob das RDP Protokoll selbst sicher ist und deswegen als "Gate" Verwendung finden darf, auch wenn höhere Sicherheit benötigt wird - ich möchte hier nicht über Kennwortsicherheit sprechen, oder ob die Firewall wirklich die anderen Ports richtig abschirmt - mich interessiert nur, ob ein Eindringen durch irgendwelche Lücken des RDP Protokolls auf den TS direkt möglich ist.
Es handelt sich bei dem System um einen Win2k3 TS der hinter einer Firewall, die nur den Port 3389 an den Server übergibt, geparkt ist -
bei dem System ist die Platte virtuell, damit falls irgendwelche feindlichen Aktivitäten auf dem System stattfinden, das System wieder in der ursrpünglichen Konfiguration startet, sollte das System aus irgendeinem Grund nicht mehr reagieren, startet es selbstständig neu ...
das Problem ist eben nur, das von diesem System aus Zugriff auf das Unternehmensnetz genommen werden dürfte -
und somit das System sicher sein muss - nur die einzige Stelle die ich glaube angegriffen werden kann ist über den Port 3389 auf dem sich der TS meldet - daher die Frage, ist das sicher?
Ich denke schon, aber vielleicht hat ja irgendwer damit mehr Erfahrung.
Hallo,
mich interessiert ob das RDP Protokoll selbst sicher ist und deswegen als "Gate" Verwendung finden darf, auch wenn höhere Sicherheit benötigt wird - ich möchte hier nicht über Kennwortsicherheit sprechen, oder ob die Firewall wirklich die anderen Ports richtig abschirmt - mich interessiert nur, ob ein Eindringen durch irgendwelche Lücken des RDP Protokolls auf den TS direkt möglich ist.
Es handelt sich bei dem System um einen Win2k3 TS der hinter einer Firewall, die nur den Port 3389 an den Server übergibt, geparkt ist -
bei dem System ist die Platte virtuell, damit falls irgendwelche feindlichen Aktivitäten auf dem System stattfinden, das System wieder in der ursrpünglichen Konfiguration startet, sollte das System aus irgendeinem Grund nicht mehr reagieren, startet es selbstständig neu ...
das Problem ist eben nur, das von diesem System aus Zugriff auf das Unternehmensnetz genommen werden dürfte -
und somit das System sicher sein muss - nur die einzige Stelle die ich glaube angegriffen werden kann ist über den Port 3389 auf dem sich der TS meldet - daher die Frage, ist das sicher?
Ich denke schon, aber vielleicht hat ja irgendwer damit mehr Erfahrung.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 27497
Url: https://administrator.de/contentid/27497
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
ich würde RDP über IPSEC benutzen, da sich das RDP Protokoll abhören lässt. Siehe auch
http://www.heise.de/security/artikel/61945
Desweiteren sollte bedacht werden, das es um sensible Daten geht und von daher würde ich RDP nur über IPSEC betreiben.
Interessant wäre noch die Software SSLExplorer, (erhältlich bei Sourceforge, www.sf.net). Damit kannst du SSL Tunnel aufbauen, wodurch du dir die Konfiguration der Clients sparen kannst. Das WebInterface kannst du für die Benutzer auch vorkonfigurieren und auch Zertifikate für die Clients benutzen. Ich hatte es mal testweise laufen und für kurzfristige Zugriffe benutzt. Es klappte so weit alles einwandfrei.
mfg
DrOktagon
ich würde RDP über IPSEC benutzen, da sich das RDP Protokoll abhören lässt. Siehe auch
http://www.heise.de/security/artikel/61945
Desweiteren sollte bedacht werden, das es um sensible Daten geht und von daher würde ich RDP nur über IPSEC betreiben.
Interessant wäre noch die Software SSLExplorer, (erhältlich bei Sourceforge, www.sf.net). Damit kannst du SSL Tunnel aufbauen, wodurch du dir die Konfiguration der Clients sparen kannst. Das WebInterface kannst du für die Benutzer auch vorkonfigurieren und auch Zertifikate für die Clients benutzen. Ich hatte es mal testweise laufen und für kurzfristige Zugriffe benutzt. Es klappte so weit alles einwandfrei.
mfg
DrOktagon
Hi,
nimm SSL Explorer, ist intuitiver zu implementieren, als die Clients auf IPSEC umzustellen.
http://sourceforge.net/projects/sslexplorer
mfg
DrOktagon
nimm SSL Explorer, ist intuitiver zu implementieren, als die Clients auf IPSEC umzustellen.
http://sourceforge.net/projects/sslexplorer
mfg
DrOktagon