it-fraggle
Goto Top

Remote Desktop Server einbringen

Hallo zusammen,

wie bei vielen ist auch bei uns das Thema Home Office aktuell. Dazu würde ich gerne einen RDS aufsetzen wollen. Um diesen zu erreichen wäre eine VPN-Verbindung Pflicht. Ansich klingt das alles nicht so schlimm. Der Punkt an dem ich aber hänge ist, dass bei uns die Direktive "Kein Verbindungsaufbau von unsicheren in sicherere Netzwerke!" gilt. Vom Internet in eine DMZ ist noch gerade so erlaubt, aber weiter rein geht nicht mehr. Das Netzwerk schaut vereinfacht quasi so aus:

|Mitarbeiternetze| ----- |FW1| ----- |DMZs| ----- |FW2| ------ |Internet|

Der RDS muss im MA-Netz stehen, da nur von dort aus verschiedene Server erreichbar sind damit die MAs arbeiten können. Eine Idee wie man von außen den RDS erreichen kann ohne die Sicherheit aufs Spiel zu setzen? Wie implementiert man das am besten?

Gruß und Dank

Content-Key: 558919

Url: https://administrator.de/contentid/558919

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: tech-flare
tech-flare 18.03.2020 um 20:55:24 Uhr
Goto Top
Ein richtig konfigurierter VPN setzt die SICHERHEIT NICHT AUFS SPIEL. Das ist ist völlig normal und ein popliges Szenario ;)

Möglichkeit 1:
- VPN
- eigener VPN Scope für die RDS User
- Den VPN Usern nur Zugriff auf den RDS per Rdp gewähren. Ggf noch DNS
- 2FA / RSA zusätzlich bei VPN ist auch möglich

Möglichkeit 2
- RD Gateway in die DMZ stelle

Wobei ich immer Möglichkeit 1 nehmen würde
Mitglied: emeriks
emeriks 18.03.2020 um 22:03:16 Uhr
Goto Top
Hi,
ich würde sogar beides kombinieren.
  1. VPN in einer DMZ aufschlagen lassen
  2. in dieser DMZ nur ein RDS Gateway

E.
Mitglied: StefanKittel
StefanKittel 19.03.2020 um 02:05:21 Uhr
Goto Top
Moin,

Zitat von @it-fraggle:
Kein Verbindungsaufbau von unsicheren in sicherere Netzwerke!

Das ist eine Definitionsfrage.
Dies wird sich per ja nun nicht vollständig verhindern lassen.
Deine Nutzer befinden ist ja nun im unsichersten Netzwerk dem Internet und wollen auf die Daten im sicheren Netzwerk zugreifen.

Und eine Frage des Aufwandes.
Ob der RDS nun in der "normalen" DMZ steht, eine eigene DMZ bekommt oder gar im internen Netzwerk steht ist Euren eigenen Vorgaben und Möglichkeiten geschuldet. Genau wie die Frage wie der Benutzer dort hinkommt (VPN, RDP Gateway, etc) und weiter mit der Frage was für Endgeräte und was für Internetverbindungen der Anwender benutzen darf/soll/muss.

Stefan
Mitglied: radiogugu
radiogugu 19.03.2020 aktualisiert um 09:04:14 Uhr
Goto Top
Zitat von @it-fraggle:
Der Punkt an dem ich aber hänge ist, dass bei uns die Direktive "Kein Verbindungsaufbau von unsicheren in sicherere Netzwerke!" gilt. Vom Internet > in eine DMZ ist noch gerade so erlaubt, aber weiter rein geht nicht mehr. Das Netzwerk schaut vereinfacht quasi so aus:

Hallo.

Dann ist das für euch nicht möglich.

Jede VPN Verbindung kommt ja immer aus einem unsicheren Netzwerk, dem Internet. Also gibt es bei euch bisher gar keine VPN Verbindungen von externen Mitarbeitern oder Geschäftsführern?

Oder sind deren Heimnetzwerke alle mit nicht Konsumenten-Hardware (á la Fritzbox, Speedport )ausgetattet?

Gruß
Radiogugu
Mitglied: it-fraggle
it-fraggle 19.03.2020 um 09:56:49 Uhr
Goto Top
Also gibt es bei euch bisher gar keine VPN Verbindungen von externen Mitarbeitern oder Geschäftsführern?
Genau so ist es. Wir haben das all die Jahre nie gebraucht. Durch den Coronamist und dem immer steigenden Wunsch nach Home Office überlegen wir uns wie wir das einrichten könnten. Bisher sehe ich folgende Möglichkeit:

|RDS| ----- |FW1| ----- |RDS GW| ----- |FW2(VPN)| ------ |Internet|

Die Verbindung des Users kommt aus dem Inet an FW2 an. Die FW2 terminiert die VPN-Verbindung und man landet in der DMZ. Von dort aus erreicht man nur das RDS-GW, was dann die Verbindung zum RDS ermöglicht.
Mitglied: emeriks
emeriks 19.03.2020 aktualisiert um 11:05:52 Uhr
Goto Top
Wenn Ihr das derart restriktiv braucht, dann bleibt eigentlich nur Site-to-Site mit gestellter Hardware.

  • VPN-Router im privaten LAN des Anwenders von Euch bereitgestellt
  • dieser Router mit VPN-Tunnel in die Firma
  • Einschränkung der internen Geräte dieses VPN-Routers auf nur die von Euch bereitgestellten Client-Geräte. Über MAC-Adresse.
  • Einschränkung der von Euch bereitgestellten Client-Geräte, dass der Anwender dort nichts ändern kann. Auch nichts am WLAN (kein neues hinzufügen und verbinden) oder den LAN-Verbindungen. d.h. auch statische TCP/IP-Konfiguration für Verbindung zur internen Seite des VPN-Routers.
  • Und dann müsste man auch noch die Client-Geräte selbst so konfigurieren, dass sie nur mit dem VPN-Router verbinden.
Mitglied: conquestador
conquestador 19.03.2020 um 11:51:40 Uhr
Goto Top
Wie wäre es damit:
VPN zu z.B. FW1

FW-Regel 1
HomeOfficeUser --> Port 3389 --> Terminalserver/Firmen-PC erlauben

FW-Regel 2
HomeOfficeUser --> Port any --> Terminalserver/Firmen-PC verwerfen

Dann eventuell noch das Benutzen der Zwischenablage via RDP verbieten und sollte funktionieren. Der User darf über das VPN nichts ausser den entfernten Screen betrachten (und daran arbeiten).
Mitglied: tech-flare
tech-flare 19.03.2020 um 13:17:54 Uhr
Goto Top
Genau so ist es. Wir haben das all die Jahre nie gebraucht. Durch den Coronamist und dem immer steigenden Wunsch nach Home Office überlegen wir uns wie wir das einrichten könnten. Bisher sehe ich folgende Möglichkeit:

|RDS| ----- |FW1| ----- |RDS GW| ----- |FW2(VPN)| ------ |Internet|

Die Verbindung des Users kommt aus dem Inet an FW2 an. Die FW2 terminiert die VPN-Verbindung und man landet in der DMZ. Von dort aus erreicht man nur das RDS-GW, was dann die Verbindung zum RDS ermöglicht.
Wenn ihr bisher sowas nie gebraucht habt, finde ich das vorhaben wie du es umsetzen möchtest leicht übertrieben.

Was bringt dich zu der Überlegung? Eine Zweite zusätzliche Firewall ist nicht unbedingt ein größerer Sicherheitsgewinn
Mitglied: it-fraggle
it-fraggle 19.03.2020 um 13:44:24 Uhr
Goto Top
Was bringt dich zu der Überlegung? Eine Zweite zusätzliche Firewall ist nicht unbedingt ein größerer Sicherheitsgewinn
Das ist ja kein Neuaufbau eines Netzwerks, sondern ein bestehendes. Darüber gibt es weitere DMZs in der weitere Server stehen. Die habe ich hier nicht aufgezeigt, weil das für das Szenario m. E. keine Rolle spielt.
Mitglied: tech-flare
tech-flare 20.03.2020 um 12:04:34 Uhr
Goto Top
Zitat von @it-fraggle:

Was bringt dich zu der Überlegung? Eine Zweite zusätzliche Firewall ist nicht unbedingt ein größerer Sicherheitsgewinn
Das ist ja kein Neuaufbau eines Netzwerks, sondern ein bestehendes. Darüber gibt es weitere DMZs in der weitere Server stehen. Die habe ich hier nicht aufgezeigt, weil das für das Szenario m. E. keine Rolle spielt.

Naja doch....du willst ja unbedingt 2 FW und das die Leute nichts ins Interne Netz kommen, aber bei VPN ist man nun mal teilweise im Internen Netz.

Die Kollegen und ich habe dir 2 Möglichkeiten genannt....diese kannst du nun umsetzen
Mitglied: radiogugu
radiogugu 26.03.2020 aktualisiert um 08:13:45 Uhr
Goto Top
Zitat von @tech-flare:

Naja doch....du willst ja unbedingt 2 FW und das die Leute nichts ins Interne Netz kommen, aber bei VPN ist man nun mal teilweise im Internen Netz.

Die Kollegen und ich habe dir 2 Möglichkeiten genannt....diese kannst du nun umsetzen

Und durch den Zugriff auf den RDS gelangt man ja nun mal an die Firmendaten und auch die ERP-Software beispielsweise. Solange dann Web-Mailer, Cloud-Dienste (Dropbox, OneDrive, iCloud, etc.) und andere Sharing Dienste nicht in der Firewall geblockt werden, ist Datenabwanderung weiterhin ein Thema.

Die Direktive muss hier abgeschwächt werden, sonst wird das wohl nicht zielführend werden oder die Nutzer haben nur sehr eingeschränkte Nutzungsmöglichkeiten von außerhalb.

Wie sähe das mit dem geschäftlichen E-Mail Konto aus? Darf das genutzt werden? Hier kannst Du ja faktisch nicht verhindern, dass sich einer ein Angebot oder eine Kalkulation nach Hause schickt. Unbedingt OWA im Auge behalten und unbedingt deaktivieren.

Es passiert ja nach wie vor sekündlich, dass trotz Vereinbarungen zwischen Geschäftsleitung und Mitarbeiter, dass Konten auch für private Zwecke verwendet werden. Dies betrifft auch insbesondere die Mitglieder der GF.

Gruß
Radiogugu
Mitglied: it-fraggle
it-fraggle 26.03.2020 aktualisiert um 09:06:11 Uhr
Goto Top
Solange dann Web-Mailer, Cloud-Dienste (Dropbox, OneDrive, iCloud, etc.) und andere Sharing Dienste nicht in der Firewall geblockt werden, ist Datenabwanderung weiterhin ein Thema.
Wir verwenden keine Cloud-Dienste und auch keine Webmailer. Als Clients werden von uns bereitgestellte Notebooks verwendet.

Die Direktive muss hier abgeschwächt werden, sonst wird das wohl nicht zielführend werden oder die Nutzer haben nur sehr eingeschränkte Nutzungsmöglichkeiten von außerhalb.
Ist bereits passiert. Allerdings ist das RDS-Gateway Pflicht, was ich sehr begrüße. Aktuell schaut das also so aus:

VPN-Client -> Internet -> FW1 (terminiert VPN) -> neue DMZ (GW steht hier alleine) -> FW2 -> (RDSH) -> MA-Netz
Mitglied: radiogugu
radiogugu 26.03.2020 aktualisiert um 09:13:36 Uhr
Goto Top
Zitat von @it-fraggle:

Solange dann Web-Mailer, Cloud-Dienste (Dropbox, OneDrive, iCloud, etc.) und andere Sharing Dienste nicht in der Firewall geblockt werden, ist Datenabwanderung weiterhin ein Thema.
Wir verwenden keine Cloud-Dienste und auch keine Webmailer. Als Clients werden von uns bereitgestellte Notebooks verwendet.

Hier geht es nicht darum, dass Ihr keine dieser Dienste verwendet, sondern das diese gar nicht erst erreicht werden können, wenn jemand auf dropbox.com oder onedrive.com oder 1und1.de geht.

Eben das muss in der Firewall unterbunden werden.

Gruß
Radiogugu
Mitglied: it-fraggle
it-fraggle 26.03.2020 um 09:32:36 Uhr
Goto Top
Eben das muss in der Firewall unterbunden werden.
Das haben wir vor Jahren schon abgestellt. Die Benutzer können ohnehin nur über den Proxy raus. Bleibt also nur 80 und 443. Die Sperrliste wird von uns regelmäßig aktualisiert.
Mitglied: radiogugu
radiogugu 26.03.2020 um 11:21:59 Uhr
Goto Top
Zitat von @it-fraggle:

Eben das muss in der Firewall unterbunden werden.
Das haben wir vor Jahren schon abgestellt. Die Benutzer können ohnehin nur über den Proxy raus. Bleibt also nur 80 und 443. Die Sperrliste wird von uns regelmäßig aktualisiert.

Das ist schon einmal gut.

Dann sollte der Weg über das RDS Gateway ja nun Dein Ansatz sein.

Gruß
Radiogugu