reicht RDP für den Zugriff von aussen auf den TS?
Hallo
eine bescheidene Frage meinerseits. Reicht es aus Sicherheitstechnischer Sicht aus,
auf unseren Terminalserver von aussen nur mittels RDP zuzugreifen?
Oder wäre es ratsamer die Sicherheit per SSH-Tunel zu verstärken?
LG Maik
eine bescheidene Frage meinerseits. Reicht es aus Sicherheitstechnischer Sicht aus,
auf unseren Terminalserver von aussen nur mittels RDP zuzugreifen?
Oder wäre es ratsamer die Sicherheit per SSH-Tunel zu verstärken?
LG Maik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117916
Url: https://administrator.de/contentid/117916
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
wie immer passend: "Kommt drauf an".
Prinzipiell ist ist ja die RDP kommunikation selbst schon verschlüsselt.
Allerdings gibt es im Netz schon genug BruteforceTools welche per Wörterbuch versuchen sich einzuloggen.
Wenn du den RDP zugang langfristig öffnen willst, würde ich zumindest den Port ändern sowie die erweiterten Sicherheitsrichtlinien für Passwörter aktivieren.
Aber eine SSL / VPN Lösung bringt natürlich nochmal mehr sicherheit.
Vorrausgesetzt, dass das VPN Gateway nur bestimmte Ports / IPs von den Clients ins Interne Netz zulässt.
So müssten dann nämlich erstmal das / die VPN Passwörter geknackt werden. Und danach nochmal die Windows Passwörter.
Wenn allerdings der TS die Remotedienste nur temporär zur Verfügung stellt, kann man von zusätzlichen VPN Gateways etc sicher absehen.
Kommt wie gesagt immer auf das Umfeld drauf an (Was ist auf dem TS hinterlegt, bzw. welche Daten kann man über den TS erreichen, wie sensibel sind diese etc...)
wie immer passend: "Kommt drauf an".
Prinzipiell ist ist ja die RDP kommunikation selbst schon verschlüsselt.
Allerdings gibt es im Netz schon genug BruteforceTools welche per Wörterbuch versuchen sich einzuloggen.
Wenn du den RDP zugang langfristig öffnen willst, würde ich zumindest den Port ändern sowie die erweiterten Sicherheitsrichtlinien für Passwörter aktivieren.
Aber eine SSL / VPN Lösung bringt natürlich nochmal mehr sicherheit.
Vorrausgesetzt, dass das VPN Gateway nur bestimmte Ports / IPs von den Clients ins Interne Netz zulässt.
So müssten dann nämlich erstmal das / die VPN Passwörter geknackt werden. Und danach nochmal die Windows Passwörter.
Wenn allerdings der TS die Remotedienste nur temporär zur Verfügung stellt, kann man von zusätzlichen VPN Gateways etc sicher absehen.
Kommt wie gesagt immer auf das Umfeld drauf an (Was ist auf dem TS hinterlegt, bzw. welche Daten kann man über den TS erreichen, wie sensibel sind diese etc...)
es wäre zumindest sinnvoll, daß der Router das SSH, VPN, oder ähnliches verwaltet. Von einem Zugangspunkt am server würde ich absehen, da ein Angreifer dann ja den im Erfolgsfall den Server kapert. Es gibt auch günstige SSL-Routerlösungen. Ein SSH-Tunnel zum Router tut es aber auch.
Gruß, Arch Stanton
Gruß, Arch Stanton
Zitat von @pxxsxx:
Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit
verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.
Hallo,Praktisch reicht es aus. RDP unter Windows ist per default mit 56 Bit
verschlüsselt. Das lässt sich noch auf 128 Bit erweitern.
es geht bei der Angelegenheit bei weitem nicht nur um Abhörschutz - nichts anderes ist die Verschlüsselung - sondern primär um Zugriffsschutz. Und da es _unglaublich_ einfach ist Nutzern ihre Kennwörter zu entlocken und man oft genug auch raten kann ist eine einfache Kennwortauthentifizierung für einen solchen Dienst, der im Internet angeboten wird (wenn man auf dem TS erstmal angemeldet ist wird man wohl an so ziemlich alle Daten kommen) definitiv viel zu wenig. Dieses Problem löst auch ein VPN in keinster weise, wenn ich mich hier wiederum nur per Kennwort authentifiziere.
Was her muss ist eine Zwei-Faktor-Authentifizierung. Sehr beliebt sind One-Time-Password-Tokens, die alle x Sekunden ein neues (nur x Sekunden gültiges) Kennwort generieren. Bekanntestes Produkt: RSA-SecurID. Andere (vor allem in kleineren Umgebungen billigere) Möglichkeit sind z.B. Client-Zertifikate.
Gruß
Filipp