username
Goto Top

Ist RDP selbst als "Gate" sicher?

Es handelt sich um den Einsatz eines abgeschirmten Terminalservers wobei nur der Port 3389 von der Firewall an den Server weitergereicht wird.

Hallo,
mich interessiert ob das RDP Protokoll selbst sicher ist und deswegen als "Gate" Verwendung finden darf, auch wenn höhere Sicherheit benötigt wird - ich möchte hier nicht über Kennwortsicherheit sprechen, oder ob die Firewall wirklich die anderen Ports richtig abschirmt - mich interessiert nur, ob ein Eindringen durch irgendwelche Lücken des RDP Protokolls auf den TS direkt möglich ist.

Es handelt sich bei dem System um einen Win2k3 TS der hinter einer Firewall, die nur den Port 3389 an den Server übergibt, geparkt ist -
bei dem System ist die Platte virtuell, damit falls irgendwelche feindlichen Aktivitäten auf dem System stattfinden, das System wieder in der ursrpünglichen Konfiguration startet, sollte das System aus irgendeinem Grund nicht mehr reagieren, startet es selbstständig neu ...
das Problem ist eben nur, das von diesem System aus Zugriff auf das Unternehmensnetz genommen werden dürfte -
und somit das System sicher sein muss - nur die einzige Stelle die ich glaube angegriffen werden kann ist über den Port 3389 auf dem sich der TS meldet - daher die Frage, ist das sicher?
Ich denke schon, aber vielleicht hat ja irgendwer damit mehr Erfahrung.

Content-ID: 27497

Url: https://administrator.de/contentid/27497

Ausgedruckt am: 26.11.2024 um 11:11 Uhr

n.o.b.o.d.y
n.o.b.o.d.y 06.03.2006 um 16:16:02 Uhr
Goto Top
Hallo,

da das Protokoll inzwischen SSL kann, steht und fällt die Sicherheit des Datenstroms mit der Sicherheit des SSL.

Ralf
12217
12217 06.03.2006 um 17:45:23 Uhr
Goto Top
Hi,

ich würde RDP über IPSEC benutzen, da sich das RDP Protokoll abhören lässt. Siehe auch
http://www.heise.de/security/artikel/61945

Desweiteren sollte bedacht werden, das es um sensible Daten geht und von daher würde ich RDP nur über IPSEC betreiben.

Interessant wäre noch die Software SSLExplorer, (erhältlich bei Sourceforge, www.sf.net). Damit kannst du SSL Tunnel aufbauen, wodurch du dir die Konfiguration der Clients sparen kannst. Das WebInterface kannst du für die Benutzer auch vorkonfigurieren und auch Zertifikate für die Clients benutzen. Ich hatte es mal testweise laufen und für kurzfristige Zugriffe benutzt. Es klappte so weit alles einwandfrei.

mfg
DrOktagon
username
username 06.03.2006 um 23:44:07 Uhr
Goto Top
Hallo,

danke soweit für die Tips mit IPSEC, bzw SSL ... unschöne Sache das. ;)
Naja, von CD booten oder Software installieren, fällt in unserem Netz aus - gut, keine 100% Sicherheit, aber recht geringes Risiko, bis die neuen VPN's einsatzbereit sind - jedenfalls besser, als auf Remoteanmeldung zu verzichten.
Ich werde mir also morgen mal IPSEC anschauen, und wohl zum Einsatz bringen. Danke soweit. Sollte ich noch irgendwo Schwierigkeiten haben - melde ich mich nochmal.
12217
12217 08.03.2006 um 14:41:09 Uhr
Goto Top
Hi,

nimm SSL Explorer, ist intuitiver zu implementieren, als die Clients auf IPSEC umzustellen.
http://sourceforge.net/projects/sslexplorer


mfg
DrOktagon