4
Ist RDP selbst als "Gate" sicher?
Es handelt sich um den Einsatz eines abgeschirmten Terminalservers wobei nur der Port 3389 von der Firewall an den Server weitergereicht wird.
Hallo,
mich interessiert ob das RDP Protokoll selbst sicher ist und deswegen als "Gate" Verwendung finden darf, auch wenn höhere Sicherheit benötigt wird - ich möchte hier nicht über Kennwortsicherheit sprechen, oder ob die Firewall wirklich die anderen Ports richtig abschirmt - mich interessiert nur, ob ein Eindringen durch irgendwelche Lücken des RDP Protokolls auf den TS direkt möglich ist.
Es handelt sich bei dem System um einen Win2k3 TS der hinter einer Firewall, die nur den Port 3389 an den Server übergibt, geparkt ist -
bei dem System ist die Platte virtuell, damit falls irgendwelche feindlichen Aktivitäten auf dem System stattfinden, das System wieder in der ursrpünglichen Konfiguration startet, sollte das System aus irgendeinem Grund nicht mehr reagieren, startet es selbstständig neu ...
das Problem ist eben nur, das von diesem System aus Zugriff auf das Unternehmensnetz genommen werden dürfte -
und somit das System sicher sein muss - nur die einzige Stelle die ich glaube angegriffen werden kann ist über den Port 3389 auf dem sich der TS meldet - daher die Frage, ist das sicher?
Ich denke schon, aber vielleicht hat ja irgendwer damit mehr Erfahrung.
Hallo,
mich interessiert ob das RDP Protokoll selbst sicher ist und deswegen als "Gate" Verwendung finden darf, auch wenn höhere Sicherheit benötigt wird - ich möchte hier nicht über Kennwortsicherheit sprechen, oder ob die Firewall wirklich die anderen Ports richtig abschirmt - mich interessiert nur, ob ein Eindringen durch irgendwelche Lücken des RDP Protokolls auf den TS direkt möglich ist.
Es handelt sich bei dem System um einen Win2k3 TS der hinter einer Firewall, die nur den Port 3389 an den Server übergibt, geparkt ist -
bei dem System ist die Platte virtuell, damit falls irgendwelche feindlichen Aktivitäten auf dem System stattfinden, das System wieder in der ursrpünglichen Konfiguration startet, sollte das System aus irgendeinem Grund nicht mehr reagieren, startet es selbstständig neu ...
das Problem ist eben nur, das von diesem System aus Zugriff auf das Unternehmensnetz genommen werden dürfte -
und somit das System sicher sein muss - nur die einzige Stelle die ich glaube angegriffen werden kann ist über den Port 3389 auf dem sich der TS meldet - daher die Frage, ist das sicher?
Ich denke schon, aber vielleicht hat ja irgendwer damit mehr Erfahrung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 27497
Url: https://administrator.de/contentid/27497
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
da das Protokoll inzwischen SSL kann, steht und fällt die Sicherheit des Datenstroms mit der Sicherheit des SSL.
Ralf
da das Protokoll inzwischen SSL kann, steht und fällt die Sicherheit des Datenstroms mit der Sicherheit des SSL.
Ralf
Hi,
ich würde RDP über IPSEC benutzen, da sich das RDP Protokoll abhören lässt. Siehe auch
http://www.heise.de/security/artikel/61945
Desweiteren sollte bedacht werden, das es um sensible Daten geht und von daher würde ich RDP nur über IPSEC betreiben.
Interessant wäre noch die Software SSLExplorer, (erhältlich bei Sourceforge, www.sf.net). Damit kannst du SSL Tunnel aufbauen, wodurch du dir die Konfiguration der Clients sparen kannst. Das WebInterface kannst du für die Benutzer auch vorkonfigurieren und auch Zertifikate für die Clients benutzen. Ich hatte es mal testweise laufen und für kurzfristige Zugriffe benutzt. Es klappte so weit alles einwandfrei.
mfg
DrOktagon
ich würde RDP über IPSEC benutzen, da sich das RDP Protokoll abhören lässt. Siehe auch
http://www.heise.de/security/artikel/61945
Desweiteren sollte bedacht werden, das es um sensible Daten geht und von daher würde ich RDP nur über IPSEC betreiben.
Interessant wäre noch die Software SSLExplorer, (erhältlich bei Sourceforge, www.sf.net). Damit kannst du SSL Tunnel aufbauen, wodurch du dir die Konfiguration der Clients sparen kannst. Das WebInterface kannst du für die Benutzer auch vorkonfigurieren und auch Zertifikate für die Clients benutzen. Ich hatte es mal testweise laufen und für kurzfristige Zugriffe benutzt. Es klappte so weit alles einwandfrei.
mfg
DrOktagon
Hallo,
danke soweit für die Tips mit IPSEC, bzw SSL ... unschöne Sache das. ;)
Naja, von CD booten oder Software installieren, fällt in unserem Netz aus - gut, keine 100% Sicherheit, aber recht geringes Risiko, bis die neuen VPN's einsatzbereit sind - jedenfalls besser, als auf Remoteanmeldung zu verzichten.
Ich werde mir also morgen mal IPSEC anschauen, und wohl zum Einsatz bringen. Danke soweit. Sollte ich noch irgendwo Schwierigkeiten haben - melde ich mich nochmal.
danke soweit für die Tips mit IPSEC, bzw SSL ... unschöne Sache das. ;)
Naja, von CD booten oder Software installieren, fällt in unserem Netz aus - gut, keine 100% Sicherheit, aber recht geringes Risiko, bis die neuen VPN's einsatzbereit sind - jedenfalls besser, als auf Remoteanmeldung zu verzichten.
Ich werde mir also morgen mal IPSEC anschauen, und wohl zum Einsatz bringen. Danke soweit. Sollte ich noch irgendwo Schwierigkeiten haben - melde ich mich nochmal.
Hi,
nimm SSL Explorer, ist intuitiver zu implementieren, als die Clients auf IPSEC umzustellen.
http://sourceforge.net/projects/sslexplorer
mfg
DrOktagon
nimm SSL Explorer, ist intuitiver zu implementieren, als die Clients auf IPSEC umzustellen.
http://sourceforge.net/projects/sslexplorer
mfg
DrOktagon
