kathaki
Goto Top

Remote Desktop Server mit vorgeschalteter 2FA Auth

Hallo zusammen,

habe die (meiner Meinung schwachsinnige) Anforderung erhalten einen RDS aus dem Internet erreichbar zu machen. Das ist grundsätzlich kein Problem, allerdings lief ich beim letzten Mal auf das Problem, dass dieser Server mit Anmeldeanfragen bombadiert wurde(gängige Namen wie Admin, User, root usw wurden immer wieder probiert)

Damit das gleiche nicht nochmal passiert, würde ich gerne den RDP Aufruf abfangen. Der User muss sich erst mit seinem Handy bestätigen und anschließend erst wird die RDP-Session zum Server aufgebaut.

Wie kann ich das am schlausten angehen? Gibt es "fertige" Anbieter, die ich einfach zwischen die Verbindung hängen kann?

Systemumgebung:
Windows Server 2012 R2
PFSense mit Port Forwarding von fester öffentlicher IP zum Terminalserver
Windows 7-10 Clients mit windowseigener Remotedesktop Verbindung

Vielen Dank für eure Antworten und liebe Grüße
Aki

Content-ID: 378450

Url: https://administrator.de/forum/remote-desktop-server-mit-vorgeschalteter-2fa-auth-378450.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

129580
129580 27.06.2018 um 13:56:55 Uhr
Goto Top
Hi,

das ist in der Tat eine schwachsinnige Idee. Für sowas wird normalerweise für externe Mitarbeitern ein Remote Access VPN eingerichtet.
Eine Firewall, die sowas kann, hast du ja bereits. (pfSense)

Bezüglich der 2 Faktor Authentifizierung von RDP:
https://www.it-zeugs.de/two-factor-authentication-fuer-rdp.html
https://security.stackexchange.com/questions/133720/is-two-factor-auth-f ...
https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-se ...

Viele Grüße,
Exception
Kathaki
Kathaki 27.06.2018 um 14:01:42 Uhr
Goto Top
Die VPN funktioniert auch tadellos.. seit Jahren. Allerdings soll dieser verfluchte Server zwingend aus dem Internet erreichbar sein... frag nicht, ich habs auch aufgegeben.

Duo habe ich auf meiner Testmaschine mal aufgesetzt. Da habe ich eben das Problem, dass ich munter anfragen an den Server schicken kann. Die 2FA kommt erst, "wenn ich schon auf dem Server bin"
Ich wollte die 2FA Auth quasi einen Schritt nach vorne schieben, erst Auth -> dann die Verbindung aufbauen zum Terminalserver

Danke für deine Antwort face-smile
beidermachtvongreyscull
Lösung beidermachtvongreyscull 27.06.2018 um 15:24:23 Uhr
Goto Top
Wie wäre es, wenn Du das Ganze durch Guacamole schleust?

https://znil.net/index.php?title=Ubuntu_16.04.x_LTS_-_Guacamole_HTML5_Re ...

Wird hier sehr gut erklärt.
Zusätzlich installiert der Kollege einen Reverseproxy auf apache und hier sehe ich noch mal die Sicherheit, dass Du apache mod_ssl eine SSLVerfiyClient Require setzen könntest.

Dadurch würden nur Clients zum Guacamole weitergeleitet, die das richtige SSL-Zertifikat installiert haben.

Das wäre Faktor 1.

Anmeldung am Guacamole ist dann Faktor 2.

Und erst dann käme eine Sitzung zum TS zustande.

Vorteil:
Du brauchst keinen RDP-Client, denn das Ganze läuft browserbasiert ab.

Was hältst Du davon?
StefanKittel
Lösung StefanKittel 27.06.2018 aktualisiert um 16:18:25 Uhr
Goto Top
Hallo,

vieleicht ist das hier ja etwas für Dich?
https://secureaccess.pro/

Es ist ein Port-Security-Gateway.
Der RDP-Server wird so konfiguriert, dass er nur RDP-Verbindungen von dieser IP entgegennimmt.
Es bietete keine zusätzliche Verschlüsselung. Dies ist bei RDP aber ja gar nicht das Problem.

Es bietet einen sehr guten Schutz gegen Brute-Force- und Sicherheitslücken-Angriffen, da der RDP-Server nicht mehr direkt aus dem Internet erreichbar ist.
https://secureaccess.pro/angriffs-szenarien/

der Benutzer meldet sich an und verbindet sich dann über das Gateway mit seinem Server.

Viele Grüße

Stefan
C.R.S.
C.R.S. 27.06.2018 um 22:27:44 Uhr
Goto Top
Hallo,

wenn Du den Port änderst, kommt praktisch kein Grundrauschen mehr an. Die übliche RDP-Härtung (SSL, Authentifizierung auf Netzwerkebene, Kontosperrungsrichtlinie, "Administrator"-Konto deaktivieren) nicht vergessen.

Grüße
Richard
chgorges
Lösung chgorges 27.06.2018 um 22:51:50 Uhr
Goto Top
maddig
maddig 28.06.2018 um 07:11:34 Uhr
Goto Top
Ich werf mal https://duo.com/ in die Runde.

Benutz ich schon ewig für RDP und SSH. Man kann damit sehr viel mehr machen bzw. auch Custom Anwendungen bauen.

Der einzige Nachteil ab einer gewissen Useranzahl wird es eben kostenpflichtig.

mfg
maddig
magicteddy
magicteddy 28.06.2018 aktualisiert um 07:22:43 Uhr
Goto Top
Moin,

wäre ein SSH Tunnel mit Key Auth eine Option?
Wenn Du Keys ohne Passphrase einsetzt kann über Putty der Tunnel per Mausklick aufgebaut werden und erst dann die RDP Verbindung aufgebaut werden? Du könntest es sogar scripten: Tunnel via SSH wird automatisch aufgebaut und der RDP Client startet.

-teddy
Kathaki
Kathaki 28.06.2018 um 08:14:37 Uhr
Goto Top
Genau an sowas habe ich gedacht! Ich werde das mal ausprobieren.

Auch riesen Dank an alle anderen, die genatwortet haben. Viele sehr gute Ideen und Ansätze dabei und ich werde sicher einiges noch verwenden
Th0mKa
Th0mKa 28.06.2018 um 11:35:39 Uhr
Goto Top
Moin,

Üblicherweise kommt vor den RDS ja auch noch ein Remotegateway, da gibt es dann keinen offenen RDP Port sondern ganz normales HTTPS.

/Thomas
StefanKittel
StefanKittel 28.06.2018 um 11:43:50 Uhr
Goto Top
Zitat von @Th0mKa:
Üblicherweise kommt vor den RDS ja auch noch ein Remotegateway, da gibt es dann keinen offenen RDP Port sondern ganz normales HTTPS.
Aber nur wenn man dafür die Infrastruktur hat.

Bei einem Vserver mit Windows bei Strato & Co geht das einfach nicht.
Auch VPN ist dort so ohne weiteres nicht möglich.

Auch gibt es viele die RDP auf Ihrem PC und eine Portweiterleitung in Ihrem Speedportrouter aktiviert haben.

2FA ohne VPN oder Gateway hat auch weiterhin das Problem, dass es Sicherheitslücken oder Benutzer ohne 2FA geben könnte.
So ein vergessener Test-Admin mit 1234 als Kennwort ist schon ziemlich böse....

Stefan
Th0mKa
Th0mKa 28.06.2018 um 11:51:30 Uhr
Goto Top
Zitat von @StefanKittel:

Aber nur wenn man dafür die Infrastruktur hat.
Das ist eine VM die nicht viel können muß.

Bei einem Vserver mit Windows bei Strato & Co geht das einfach nicht.
Auch VPN ist dort so ohne weiteres nicht möglich.
Dann ist das der falsche Anbieter.

Auch gibt es viele die RDP auf Ihrem PC und eine Portweiterleitung in Ihrem Speedportrouter aktiviert haben.
Ja, am besten noch mit 56Bit Verschlüsselung. Nur weil viele etwas machen heißt das nicht das es gut und richtig ist.

2FA ohne VPN oder Gateway hat auch weiterhin das Problem, dass es Sicherheitslücken oder Benutzer ohne 2FA geben könnte.
So ein vergessener Test-Admin mit 1234 als Kennwort ist schon ziemlich böse....
Kommen wir also wieder zurück zum Remotegateway, kann man dort alles einfachst konfigurieren.
StefanKittel
StefanKittel 28.06.2018 um 12:26:03 Uhr
Goto Top
Hallo tkr104,

ich mache die Realität nicht face-smile
Ich versuche nur zu helfen wo Dinge bei Anderen in der Vergangenheit falsch umgesetzt wurden.

Anbieter die einzelne Server oder VMs vermieten und dafür Windows anbieten sind alle davon betroffen.
Solange es keine IaaS ist, kann man kaum ein VPN davor setzen.
Deshalb ist ein Security-Gateway meist die bessere Lösung.

Ich würde ja gerne mal wissen, wieviele Server Hetzner, 1&1, Strato und die anderen mit Windows vermietet haben.
Davon wird ein großer Teil RDP direkt zur Verfügung stellen.

Stefan
chgorges
chgorges 02.07.2018 um 23:19:21 Uhr
Goto Top
Zitat von @StefanKittel:
Solange es keine IaaS ist, kann man kaum ein VPN davor setzen.

Jup kenne es von der Wortmann Cloud, da kann man bei IaaS ne SecurePoint Firewall vorschalten für VPN, Forwards, Masquerade etc.