9
reicht RDP für den Zugriff von aussen auf den TS?
Hallo
eine bescheidene Frage meinerseits. Reicht es aus Sicherheitstechnischer Sicht aus,
auf unseren Terminalserver von aussen nur mittels RDP zuzugreifen?
Oder wäre es ratsamer die Sicherheit per SSH-Tunel zu verstärken?
LG Maik
eine bescheidene Frage meinerseits. Reicht es aus Sicherheitstechnischer Sicht aus,
auf unseren Terminalserver von aussen nur mittels RDP zuzugreifen?
Oder wäre es ratsamer die Sicherheit per SSH-Tunel zu verstärken?
LG Maik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117916
Url: https://administrator.de/contentid/117916
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
RDP ist ja nur durch ein Paßwort geschützt. Ich richte für den TS-Zugang immer einen VPN-Zugang per Router ein.
Gruß, Arch Stanton
Gruß, Arch Stanton
nutzt du ein VPN? dann macht das doch der tunnel? Wir wäre es mit RDP over HTTPS?
Grüße
Grüße
Theorie und Praxis.
Theoretisch ist 2x sicher einfach sicherer als 1x sicher.
Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.
Gruß
Peter
Theoretisch ist 2x sicher einfach sicherer als 1x sicher.
Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.
Gruß
Peter
Hi,
wie immer passend: "Kommt drauf an".
Prinzipiell ist ist ja die RDP kommunikation selbst schon verschlüsselt.
Allerdings gibt es im Netz schon genug BruteforceTools welche per Wörterbuch versuchen sich einzuloggen.
Wenn du den RDP zugang langfristig öffnen willst, würde ich zumindest den Port ändern sowie die erweiterten Sicherheitsrichtlinien für Passwörter aktivieren.
Aber eine SSL / VPN Lösung bringt natürlich nochmal mehr sicherheit.
Vorrausgesetzt, dass das VPN Gateway nur bestimmte Ports / IPs von den Clients ins Interne Netz zulässt.
So müssten dann nämlich erstmal das / die VPN Passwörter geknackt werden. Und danach nochmal die Windows Passwörter.
Wenn allerdings der TS die Remotedienste nur temporär zur Verfügung stellt, kann man von zusätzlichen VPN Gateways etc sicher absehen.
Kommt wie gesagt immer auf das Umfeld drauf an (Was ist auf dem TS hinterlegt, bzw. welche Daten kann man über den TS erreichen, wie sensibel sind diese etc...)
wie immer passend: "Kommt drauf an".
Prinzipiell ist ist ja die RDP kommunikation selbst schon verschlüsselt.
Allerdings gibt es im Netz schon genug BruteforceTools welche per Wörterbuch versuchen sich einzuloggen.
Wenn du den RDP zugang langfristig öffnen willst, würde ich zumindest den Port ändern sowie die erweiterten Sicherheitsrichtlinien für Passwörter aktivieren.
Aber eine SSL / VPN Lösung bringt natürlich nochmal mehr sicherheit.
Vorrausgesetzt, dass das VPN Gateway nur bestimmte Ports / IPs von den Clients ins Interne Netz zulässt.
So müssten dann nämlich erstmal das / die VPN Passwörter geknackt werden. Und danach nochmal die Windows Passwörter.
Wenn allerdings der TS die Remotedienste nur temporär zur Verfügung stellt, kann man von zusätzlichen VPN Gateways etc sicher absehen.
Kommt wie gesagt immer auf das Umfeld drauf an (Was ist auf dem TS hinterlegt, bzw. welche Daten kann man über den TS erreichen, wie sensibel sind diese etc...)
es wäre zumindest sinnvoll, daß der Router das SSH, VPN, oder ähnliches verwaltet. Von einem Zugangspunkt am server würde ich absehen, da ein Angreifer dann ja den im Erfolgsfall den Server kapert. Es gibt auch günstige SSL-Routerlösungen. Ein SSH-Tunnel zum Router tut es aber auch.
Gruß, Arch Stanton
Gruß, Arch Stanton
empfehle das ts-gateway, haben wir hier im einsatz und fun.zt super 
ganz meine Meinung! extrem schnell!
Hallo
Also als Router hab ich einen IPCOP mit schon aktiviertem SSH und im Moment eine Portweiterleitung in der FW zum RDP-Port am Server.
Ich habe hier schon viel zu diesem Thema gelesen wie man das einrichtet und so, aber für mich nochmal zu Verständniss:
Der Client von außen müsste dann per Putty erstmal eine SSH-Verbindung aufbauen zum Router.
Und wie gehts am Router weiter? Wie komme ich dann auf den Server?
LG Maik
Also als Router hab ich einen IPCOP mit schon aktiviertem SSH und im Moment eine Portweiterleitung in der FW zum RDP-Port am Server.
Ich habe hier schon viel zu diesem Thema gelesen wie man das einrichtet und so, aber für mich nochmal zu Verständniss:
Der Client von außen müsste dann per Putty erstmal eine SSH-Verbindung aufbauen zum Router.
Und wie gehts am Router weiter? Wie komme ich dann auf den Server?
LG Maik
Zitat von @pxxsxx:
Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit
verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.
Hallo,Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit
verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.
es geht bei der Angelegenheit bei weitem nicht nur um Abhörschutz - nichts anderes ist die Verschlüsselung - sondern primär um Zugriffsschutz. Und da es _unglaublich_ einfach ist Nutzern ihre Kennwörter zu entlocken und man oft genug auch raten kann ist eine einfache Kennwortauthentifizierung für einen solchen Dienst, der im Internet angeboten wird (wenn man auf dem TS erstmal angemeldet ist wird man wohl an so ziemlich alle Daten kommen) definitiv viel zu wenig. Dieses Problem löst auch ein VPN in keinster weise, wenn ich mich hier wiederum nur per Kennwort authentifiziere.
Was her muss ist eine Zwei-Faktor-Authentifizierung. Sehr beliebt sind One-Time-Password-Tokens, die alle x Sekunden ein neues (nur x Sekunden gültiges) Kennwort generieren. Bekanntestes Produkt: RSA-SecurID. Andere (vor allem in kleineren Umgebungen billigere) Möglichkeit sind z.B. Client-Zertifikate.
Gruß
Filipp
