sysad
Goto Top

Ist RDV über Internet sicher genug oder besser mit L2TP?

Hallo,

für die Fernwartung verwenden wir u.a. RDV, mit dem wir uns beim Kunden per DSL einwählen können. Bis jetzt gab es da auch keine Probleme (wenn man den richtigen Port weiterleitet). Jetzt sagt mir ein Kunde, er wolle "was besseres, das wäre zu unsicher, man müsste das verschlüsseln". Habe ihm dann L2TP und IPSec angeboten.

M.E. ist ja RDP schon verschlüsselt (wie gut ist die?). Es wäre natürlich kein großes Problem, erst mal ein VPN mit L2TP/IPSec aufzubauen und dann darauf die RDV zu machen (Performance ist dann allerdings fühlbar schlechter). Aber ist das nötig? Und was mach ich mit Routern, die GRE oder L2TP-Passthrough nicht können?

Danke für Tipps!

Content-Key: 46413

Url: https://administrator.de/contentid/46413

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: aqui
aqui 10.12.2006 um 13:28:40 Uhr
Goto Top
Was soll "RDV" sein ??? Ich denke mal du meinst damit "Remote Desktop Verbindung" oder ??? Das ist identisch zu RDP bzw. das eingedeutschte Pendant !
RDP (Remote Desktop Protokoll) ist wenigstens keineswegs verschlüsselt ! Da laufen alle Daten im Klartext über eine standard TCP Verbindung inkl. Passwörter etc. Das betrifft meist alle Protokolle die ein "normales" remote Desktop Management benutzen wie VNC, PCanywhere, RDP, und andere Vertreter.
Von deren Unsicherheit kannst du dich sofort selber überzeigen, snifferst du mal eine solche Session mit einem freien Sniffer wie www.wireshark.org mit !
Wirklich sicher bist du nur wenn du diese unsicheren Protokolle in einer VPN Verbindung mit IPsec, PPTP oder ähnlichen Protokollen "versteckst".
Mitglied: creetz
creetz 10.12.2006 um 13:44:01 Uhr
Goto Top
RDP ist verschlüsselt. Nichts desto trotz würde ich IMMER ein VPN über die Verbindung setzen. Anderenfalls kann ja jeder das Login des Servers sehen und munter Passwörter ausprobieren. Weiterhin ... was machst du wenn irgendwann mal ein Bug für RDP public wird und es auf die schnelle kein Patch dafür gibt !? Soll ja bei MS schon mal vorkommen face-wink


*edit*

[quote]
RDP (ursprünglich T.Share) basiert auf dem ITU-Protokoll T.128 und ist ein Protokoll der Ebenen 7–4 des OSI-Modell. Als einzig praktisch mögliches Transportprotokoll kann TCP/IP verwendet werden (standardmäßig TCP auf Port 3389).

Jede RDP-Version benutzt den RC4-Chiffrieralgorithmus, der für die Verschlüsselung von Datenströmen in Netzwerken konzipiert ist. Unter Windows 2000 kann ein Administrator zwischen einer Schlüssellänge von 56- oder 128-Bit auswählen. Die Verschlüsselung ist normalerweise bidirektional. Wird die Verschlüsselung auf die niedrigste Sicherheitsstufe gesetzt, so wird nur der Verkehr vom Client zum Server verschlüsselt, um zumindest empfindliche Daten wie z. B. Passwörter zu schützen. In der Standardeinstellung werden beide Richtungen mit einem Schlüssel von 56-Bit Länge verschlüsselt. 128-Bit Verschlüsselung kann erst nach der Installation des Windows 2000 High Encryption Pack eingestellt werden.

Auf Grund einer Designschwäche dieses Protokolls in Versionen vor 5.2 ist es jedoch möglich, dass Mitarbeiter in einem Netzwerk via ARP-Spoofing an sensible Daten gelangen (dazu Heise Security).

Als Server für RDP werden Windows Terminalserver 4.0, Windows Server 2000 und 2003, NetMeeting und Windows XP verwendet. Clients existieren für fast alle Betriebssysteme. RDP wird seit Windows XP standardmäßig für die Fernwartung von Windows-Rechnern („Remote-Unterstützung“) verwendet.

Seit Windows XP Service-Pack 1 ist die RDP-Version 5.1 verfügbar. Remote Desktop Protocol 5.2 ist eine Komponente von Windows XP Professional SP2. Seit Windows Server 2003 ist die RDP-Version 5.2 aktuell.

[/quote]
Mitglied: sysad
sysad 10.12.2006 um 14:45:55 Uhr
Goto Top
Danke, das ist doch schon mal was. Lohnt sich der Aufwand, für RDV zertifikatbasiert zu arbeiten? Macht das jemand hier im Forum?

Was mache ich bei den Kunden, wo die Router nicht explizit ESP beherrschen oder wo kein L2TP-Passthrough geht? PPTP habe ich mittlerweile bei allen eingerichtet (ohne dass ich mich um Protokoll 47 gekümmert habe...), aber L2TP läuft eher nicht hinter NAT. Wie leite ich da das Protokoll 50 durch?
Mitglied: creetz
creetz 10.12.2006 um 17:53:30 Uhr
Goto Top
Ein PPTP Tunnel sollte doch langen um RDP zusätzlich abzusichern. Nimmst halt als Authentifizierung MS Chap V2
Mitglied: sysad
sysad 10.12.2006 um 20:43:03 Uhr
Goto Top
Danke derweil, so hab ich es gerade eingerichtet, werde nach und nach auch die anderen 'umrüsten'. Irgendwie würde ich aber schon gerne noch wo es geht L2TP/IPSec machen. Wird wohl so ein Sonntagsprojekt werden. Und bei Routertausch werde ich auf L2TP Passthrough achten.
Mitglied: sysad
sysad 11.12.2006 um 10:35:07 Uhr
Goto Top
Ein PPTP Tunnel sollte doch langen um RDP
zusätzlich abzusichern. Nimmst halt als
Authentifizierung MS Chap V2

Frage: Ist bei einem PPTP-VPN der Sessionaufbau, wo also der Login und das PW abgefragt wird, schon geschützt (verschlüsselt oder wie auch immer)?
Mitglied: creetz
creetz 11.12.2006 um 10:56:54 Uhr
Goto Top
Ich bin jetzt auch kein Experte, aber meines Wissens ist es möglich beim PPTP MS CHAP V2 den HashWert des Passworts abzufangen. EIn Angreifer könnte folglich versuchen das Passwort offline zu knacken. Bei IPsec "Aggressiv Mode" besteht allerdings dieselbe Gefahr. Mit einem entsprechend langen und sicheren Passwort / PreSahred key bist du also bei beiden Varianten sicher. PPTP ist halt günstiger weil du keinen extra IPSec Client kaufen musst. Windows kann das von Haus aus.
Mitglied: aqui
aqui 11.12.2006 um 19:54:44 Uhr
Goto Top
Sorry....verwechselt, richtig. RDP ist mit einem RC4 Schlüssel chiffriert besitzt aber keine Authentisierungsfunktion !