Remote Desktop Server einbringen
Hallo zusammen,
wie bei vielen ist auch bei uns das Thema Home Office aktuell. Dazu würde ich gerne einen RDS aufsetzen wollen. Um diesen zu erreichen wäre eine VPN-Verbindung Pflicht. Ansich klingt das alles nicht so schlimm. Der Punkt an dem ich aber hänge ist, dass bei uns die Direktive "Kein Verbindungsaufbau von unsicheren in sicherere Netzwerke!" gilt. Vom Internet in eine DMZ ist noch gerade so erlaubt, aber weiter rein geht nicht mehr. Das Netzwerk schaut vereinfacht quasi so aus:
Der RDS muss im MA-Netz stehen, da nur von dort aus verschiedene Server erreichbar sind damit die MAs arbeiten können. Eine Idee wie man von außen den RDS erreichen kann ohne die Sicherheit aufs Spiel zu setzen? Wie implementiert man das am besten?
Gruß und Dank
wie bei vielen ist auch bei uns das Thema Home Office aktuell. Dazu würde ich gerne einen RDS aufsetzen wollen. Um diesen zu erreichen wäre eine VPN-Verbindung Pflicht. Ansich klingt das alles nicht so schlimm. Der Punkt an dem ich aber hänge ist, dass bei uns die Direktive "Kein Verbindungsaufbau von unsicheren in sicherere Netzwerke!" gilt. Vom Internet in eine DMZ ist noch gerade so erlaubt, aber weiter rein geht nicht mehr. Das Netzwerk schaut vereinfacht quasi so aus:
|Mitarbeiternetze| ----- |FW1| ----- |DMZs| ----- |FW2| ------ |Internet|
Der RDS muss im MA-Netz stehen, da nur von dort aus verschiedene Server erreichbar sind damit die MAs arbeiten können. Eine Idee wie man von außen den RDS erreichen kann ohne die Sicherheit aufs Spiel zu setzen? Wie implementiert man das am besten?
Gruß und Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 558919
Url: https://administrator.de/contentid/558919
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
15 Kommentare
Neuester Kommentar
Ein richtig konfigurierter VPN setzt die SICHERHEIT NICHT AUFS SPIEL. Das ist ist völlig normal und ein popliges Szenario ;)
Möglichkeit 1:
- VPN
- eigener VPN Scope für die RDS User
- Den VPN Usern nur Zugriff auf den RDS per Rdp gewähren. Ggf noch DNS
- 2FA / RSA zusätzlich bei VPN ist auch möglich
Möglichkeit 2
- RD Gateway in die DMZ stelle
Wobei ich immer Möglichkeit 1 nehmen würde
Möglichkeit 1:
- VPN
- eigener VPN Scope für die RDS User
- Den VPN Usern nur Zugriff auf den RDS per Rdp gewähren. Ggf noch DNS
- 2FA / RSA zusätzlich bei VPN ist auch möglich
Möglichkeit 2
- RD Gateway in die DMZ stelle
Wobei ich immer Möglichkeit 1 nehmen würde
Moin,
Das ist eine Definitionsfrage.
Dies wird sich per ja nun nicht vollständig verhindern lassen.
Deine Nutzer befinden ist ja nun im unsichersten Netzwerk dem Internet und wollen auf die Daten im sicheren Netzwerk zugreifen.
Und eine Frage des Aufwandes.
Ob der RDS nun in der "normalen" DMZ steht, eine eigene DMZ bekommt oder gar im internen Netzwerk steht ist Euren eigenen Vorgaben und Möglichkeiten geschuldet. Genau wie die Frage wie der Benutzer dort hinkommt (VPN, RDP Gateway, etc) und weiter mit der Frage was für Endgeräte und was für Internetverbindungen der Anwender benutzen darf/soll/muss.
Stefan
Das ist eine Definitionsfrage.
Dies wird sich per ja nun nicht vollständig verhindern lassen.
Deine Nutzer befinden ist ja nun im unsichersten Netzwerk dem Internet und wollen auf die Daten im sicheren Netzwerk zugreifen.
Und eine Frage des Aufwandes.
Ob der RDS nun in der "normalen" DMZ steht, eine eigene DMZ bekommt oder gar im internen Netzwerk steht ist Euren eigenen Vorgaben und Möglichkeiten geschuldet. Genau wie die Frage wie der Benutzer dort hinkommt (VPN, RDP Gateway, etc) und weiter mit der Frage was für Endgeräte und was für Internetverbindungen der Anwender benutzen darf/soll/muss.
Stefan
Zitat von @it-fraggle:
Der Punkt an dem ich aber hänge ist, dass bei uns die Direktive "Kein Verbindungsaufbau von unsicheren in sicherere Netzwerke!" gilt. Vom Internet > in eine DMZ ist noch gerade so erlaubt, aber weiter rein geht nicht mehr. Das Netzwerk schaut vereinfacht quasi so aus:
Der Punkt an dem ich aber hänge ist, dass bei uns die Direktive "Kein Verbindungsaufbau von unsicheren in sicherere Netzwerke!" gilt. Vom Internet > in eine DMZ ist noch gerade so erlaubt, aber weiter rein geht nicht mehr. Das Netzwerk schaut vereinfacht quasi so aus:
Hallo.
Dann ist das für euch nicht möglich.
Jede VPN Verbindung kommt ja immer aus einem unsicheren Netzwerk, dem Internet. Also gibt es bei euch bisher gar keine VPN Verbindungen von externen Mitarbeitern oder Geschäftsführern?
Oder sind deren Heimnetzwerke alle mit nicht Konsumenten-Hardware (á la Fritzbox, Speedport )ausgetattet?
Gruß
Radiogugu
Wenn Ihr das derart restriktiv braucht, dann bleibt eigentlich nur Site-to-Site mit gestellter Hardware.
- VPN-Router im privaten LAN des Anwenders von Euch bereitgestellt
- dieser Router mit VPN-Tunnel in die Firma
- Einschränkung der internen Geräte dieses VPN-Routers auf nur die von Euch bereitgestellten Client-Geräte. Über MAC-Adresse.
- Einschränkung der von Euch bereitgestellten Client-Geräte, dass der Anwender dort nichts ändern kann. Auch nichts am WLAN (kein neues hinzufügen und verbinden) oder den LAN-Verbindungen. d.h. auch statische TCP/IP-Konfiguration für Verbindung zur internen Seite des VPN-Routers.
- Und dann müsste man auch noch die Client-Geräte selbst so konfigurieren, dass sie nur mit dem VPN-Router verbinden.
Wie wäre es damit:
VPN zu z.B. FW1
FW-Regel 1
HomeOfficeUser --> Port 3389 --> Terminalserver/Firmen-PC erlauben
FW-Regel 2
HomeOfficeUser --> Port any --> Terminalserver/Firmen-PC verwerfen
Dann eventuell noch das Benutzen der Zwischenablage via RDP verbieten und sollte funktionieren. Der User darf über das VPN nichts ausser den entfernten Screen betrachten (und daran arbeiten).
VPN zu z.B. FW1
FW-Regel 1
HomeOfficeUser --> Port 3389 --> Terminalserver/Firmen-PC erlauben
FW-Regel 2
HomeOfficeUser --> Port any --> Terminalserver/Firmen-PC verwerfen
Dann eventuell noch das Benutzen der Zwischenablage via RDP verbieten und sollte funktionieren. Der User darf über das VPN nichts ausser den entfernten Screen betrachten (und daran arbeiten).
Genau so ist es. Wir haben das all die Jahre nie gebraucht. Durch den Coronamist und dem immer steigenden Wunsch nach Home Office überlegen wir uns wie wir das einrichten könnten. Bisher sehe ich folgende Möglichkeit:
Die Verbindung des Users kommt aus dem Inet an FW2 an. Die FW2 terminiert die VPN-Verbindung und man landet in der DMZ. Von dort aus erreicht man nur das RDS-GW, was dann die Verbindung zum RDS ermöglicht.
Wenn ihr bisher sowas nie gebraucht habt, finde ich das vorhaben wie du es umsetzen möchtest leicht übertrieben.|RDS| ----- |FW1| ----- |RDS GW| ----- |FW2(VPN)| ------ |Internet|
Die Verbindung des Users kommt aus dem Inet an FW2 an. Die FW2 terminiert die VPN-Verbindung und man landet in der DMZ. Von dort aus erreicht man nur das RDS-GW, was dann die Verbindung zum RDS ermöglicht.
Was bringt dich zu der Überlegung? Eine Zweite zusätzliche Firewall ist nicht unbedingt ein größerer Sicherheitsgewinn
Zitat von @it-fraggle:
Was bringt dich zu der Überlegung? Eine Zweite zusätzliche Firewall ist nicht unbedingt ein größerer Sicherheitsgewinn
Das ist ja kein Neuaufbau eines Netzwerks, sondern ein bestehendes. Darüber gibt es weitere DMZs in der weitere Server stehen. Die habe ich hier nicht aufgezeigt, weil das für das Szenario m. E. keine Rolle spielt.Naja doch....du willst ja unbedingt 2 FW und das die Leute nichts ins Interne Netz kommen, aber bei VPN ist man nun mal teilweise im Internen Netz.
Die Kollegen und ich habe dir 2 Möglichkeiten genannt....diese kannst du nun umsetzen
Zitat von @tech-flare:
Naja doch....du willst ja unbedingt 2 FW und das die Leute nichts ins Interne Netz kommen, aber bei VPN ist man nun mal teilweise im Internen Netz.
Die Kollegen und ich habe dir 2 Möglichkeiten genannt....diese kannst du nun umsetzen
Naja doch....du willst ja unbedingt 2 FW und das die Leute nichts ins Interne Netz kommen, aber bei VPN ist man nun mal teilweise im Internen Netz.
Die Kollegen und ich habe dir 2 Möglichkeiten genannt....diese kannst du nun umsetzen
Und durch den Zugriff auf den RDS gelangt man ja nun mal an die Firmendaten und auch die ERP-Software beispielsweise. Solange dann Web-Mailer, Cloud-Dienste (Dropbox, OneDrive, iCloud, etc.) und andere Sharing Dienste nicht in der Firewall geblockt werden, ist Datenabwanderung weiterhin ein Thema.
Die Direktive muss hier abgeschwächt werden, sonst wird das wohl nicht zielführend werden oder die Nutzer haben nur sehr eingeschränkte Nutzungsmöglichkeiten von außerhalb.
Wie sähe das mit dem geschäftlichen E-Mail Konto aus? Darf das genutzt werden? Hier kannst Du ja faktisch nicht verhindern, dass sich einer ein Angebot oder eine Kalkulation nach Hause schickt. Unbedingt OWA im Auge behalten und unbedingt deaktivieren.
Es passiert ja nach wie vor sekündlich, dass trotz Vereinbarungen zwischen Geschäftsleitung und Mitarbeiter, dass Konten auch für private Zwecke verwendet werden. Dies betrifft auch insbesondere die Mitglieder der GF.
Gruß
Radiogugu
Zitat von @it-fraggle:
Solange dann Web-Mailer, Cloud-Dienste (Dropbox, OneDrive, iCloud, etc.) und andere Sharing Dienste nicht in der Firewall geblockt werden, ist Datenabwanderung weiterhin ein Thema.
Wir verwenden keine Cloud-Dienste und auch keine Webmailer. Als Clients werden von uns bereitgestellte Notebooks verwendet.Hier geht es nicht darum, dass Ihr keine dieser Dienste verwendet, sondern das diese gar nicht erst erreicht werden können, wenn jemand auf dropbox.com oder onedrive.com oder 1und1.de geht.
Eben das muss in der Firewall unterbunden werden.
Gruß
Radiogugu
Zitat von @it-fraggle:
Eben das muss in der Firewall unterbunden werden.
Das haben wir vor Jahren schon abgestellt. Die Benutzer können ohnehin nur über den Proxy raus. Bleibt also nur 80 und 443. Die Sperrliste wird von uns regelmäßig aktualisiert.Das ist schon einmal gut.
Dann sollte der Weg über das RDS Gateway ja nun Dein Ansatz sein.
Gruß
Radiogugu