wolkenlos
Goto Top

reicht RDP für den Zugriff von aussen auf den TS?

Hallo

eine bescheidene Frage meinerseits. Reicht es aus Sicherheitstechnischer Sicht aus,
auf unseren Terminalserver von aussen nur mittels RDP zuzugreifen?
Oder wäre es ratsamer die Sicherheit per SSH-Tunel zu verstärken?

LG Maik

Content-ID: 117916

Url: https://administrator.de/contentid/117916

Ausgedruckt am: 05.11.2024 um 09:11 Uhr

Arch-Stanton
Arch-Stanton 10.06.2009 um 12:19:30 Uhr
Goto Top
RDP ist ja nur durch ein Paßwort geschützt. Ich richte für den TS-Zugang immer einen VPN-Zugang per Router ein.

Gruß, Arch Stanton
derlupo
derlupo 10.06.2009 um 12:20:08 Uhr
Goto Top
nutzt du ein VPN? dann macht das doch der tunnel? Wir wäre es mit RDP over HTTPS?

Grüße
pxxsxx
pxxsxx 10.06.2009 um 12:22:48 Uhr
Goto Top
Theorie und Praxis.

Theoretisch ist 2x sicher einfach sicherer als 1x sicher.

Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.


Gruß
Peter
Takrael
Takrael 10.06.2009 um 12:24:20 Uhr
Goto Top
Hi,

wie immer passend: "Kommt drauf an".

Prinzipiell ist ist ja die RDP kommunikation selbst schon verschlüsselt.
Allerdings gibt es im Netz schon genug BruteforceTools welche per Wörterbuch versuchen sich einzuloggen.
Wenn du den RDP zugang langfristig öffnen willst, würde ich zumindest den Port ändern sowie die erweiterten Sicherheitsrichtlinien für Passwörter aktivieren.
Aber eine SSL / VPN Lösung bringt natürlich nochmal mehr sicherheit.
Vorrausgesetzt, dass das VPN Gateway nur bestimmte Ports / IPs von den Clients ins Interne Netz zulässt.
So müssten dann nämlich erstmal das / die VPN Passwörter geknackt werden. Und danach nochmal die Windows Passwörter.

Wenn allerdings der TS die Remotedienste nur temporär zur Verfügung stellt, kann man von zusätzlichen VPN Gateways etc sicher absehen.
Kommt wie gesagt immer auf das Umfeld drauf an (Was ist auf dem TS hinterlegt, bzw. welche Daten kann man über den TS erreichen, wie sensibel sind diese etc...)
Arch-Stanton
Arch-Stanton 10.06.2009 um 12:33:54 Uhr
Goto Top
es wäre zumindest sinnvoll, daß der Router das SSH, VPN, oder ähnliches verwaltet. Von einem Zugangspunkt am server würde ich absehen, da ein Angreifer dann ja den im Erfolgsfall den Server kapert. Es gibt auch günstige SSL-Routerlösungen. Ein SSH-Tunnel zum Router tut es aber auch.

Gruß, Arch Stanton
bigzorro
bigzorro 10.06.2009 um 12:56:34 Uhr
Goto Top
empfehle das ts-gateway, haben wir hier im einsatz und fun.zt super face-smile
derlupo
derlupo 10.06.2009 um 12:59:03 Uhr
Goto Top
ganz meine Meinung! extrem schnell!
Wolkenlos
Wolkenlos 10.06.2009 um 17:35:35 Uhr
Goto Top
Hallo

Also als Router hab ich einen IPCOP mit schon aktiviertem SSH und im Moment eine Portweiterleitung in der FW zum RDP-Port am Server.
Ich habe hier schon viel zu diesem Thema gelesen wie man das einrichtet und so, aber für mich nochmal zu Verständniss:

Der Client von außen müsste dann per Putty erstmal eine SSH-Verbindung aufbauen zum Router.
Und wie gehts am Router weiter? Wie komme ich dann auf den Server?

LG Maik
filippg
filippg 10.06.2009 um 18:01:12 Uhr
Goto Top
Zitat von @pxxsxx:
Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit
verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.
Hallo,

es geht bei der Angelegenheit bei weitem nicht nur um Abhörschutz - nichts anderes ist die Verschlüsselung - sondern primär um Zugriffsschutz. Und da es _unglaublich_ einfach ist Nutzern ihre Kennwörter zu entlocken und man oft genug auch raten kann ist eine einfache Kennwortauthentifizierung für einen solchen Dienst, der im Internet angeboten wird (wenn man auf dem TS erstmal angemeldet ist wird man wohl an so ziemlich alle Daten kommen) definitiv viel zu wenig. Dieses Problem löst auch ein VPN in keinster weise, wenn ich mich hier wiederum nur per Kennwort authentifiziere.
Was her muss ist eine Zwei-Faktor-Authentifizierung. Sehr beliebt sind One-Time-Password-Tokens, die alle x Sekunden ein neues (nur x Sekunden gültiges) Kennwort generieren. Bekanntestes Produkt: RSA-SecurID. Andere (vor allem in kleineren Umgebungen billigere) Möglichkeit sind z.B. Client-Zertifikate.

Gruß

Filipp