14
Remote Desktop Server mit vorgeschalteter 2FA Auth
Hallo zusammen,
habe die (meiner Meinung schwachsinnige) Anforderung erhalten einen RDS aus dem Internet erreichbar zu machen. Das ist grundsätzlich kein Problem, allerdings lief ich beim letzten Mal auf das Problem, dass dieser Server mit Anmeldeanfragen bombadiert wurde(gängige Namen wie Admin, User, root usw wurden immer wieder probiert)
Damit das gleiche nicht nochmal passiert, würde ich gerne den RDP Aufruf abfangen. Der User muss sich erst mit seinem Handy bestätigen und anschließend erst wird die RDP-Session zum Server aufgebaut.
Wie kann ich das am schlausten angehen? Gibt es "fertige" Anbieter, die ich einfach zwischen die Verbindung hängen kann?
Vielen Dank für eure Antworten und liebe Grüße
Aki
habe die (meiner Meinung schwachsinnige) Anforderung erhalten einen RDS aus dem Internet erreichbar zu machen. Das ist grundsätzlich kein Problem, allerdings lief ich beim letzten Mal auf das Problem, dass dieser Server mit Anmeldeanfragen bombadiert wurde(gängige Namen wie Admin, User, root usw wurden immer wieder probiert)
Damit das gleiche nicht nochmal passiert, würde ich gerne den RDP Aufruf abfangen. Der User muss sich erst mit seinem Handy bestätigen und anschließend erst wird die RDP-Session zum Server aufgebaut.
Wie kann ich das am schlausten angehen? Gibt es "fertige" Anbieter, die ich einfach zwischen die Verbindung hängen kann?
Systemumgebung:
Windows Server 2012 R2
PFSense mit Port Forwarding von fester öffentlicher IP zum Terminalserver
Windows 7-10 Clients mit windowseigener Remotedesktop VerbindungVielen Dank für eure Antworten und liebe Grüße
Aki
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378450
Url: https://administrator.de/contentid/378450
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
14 Kommentare
Neuester Kommentar
Hi,
das ist in der Tat eine schwachsinnige Idee. Für sowas wird normalerweise für externe Mitarbeitern ein Remote Access VPN eingerichtet.
Eine Firewall, die sowas kann, hast du ja bereits. (pfSense)
Bezüglich der 2 Faktor Authentifizierung von RDP:
https://www.it-zeugs.de/two-factor-authentication-fuer-rdp.html
https://security.stackexchange.com/questions/133720/is-two-factor-auth-f ...
https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-se ...
Viele Grüße,
Exception
das ist in der Tat eine schwachsinnige Idee. Für sowas wird normalerweise für externe Mitarbeitern ein Remote Access VPN eingerichtet.
Eine Firewall, die sowas kann, hast du ja bereits. (pfSense)
Bezüglich der 2 Faktor Authentifizierung von RDP:
https://www.it-zeugs.de/two-factor-authentication-fuer-rdp.html
https://security.stackexchange.com/questions/133720/is-two-factor-auth-f ...
https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-se ...
Viele Grüße,
Exception
1
Die VPN funktioniert auch tadellos.. seit Jahren. Allerdings soll dieser verfluchte Server zwingend aus dem Internet erreichbar sein... frag nicht, ich habs auch aufgegeben.
Duo habe ich auf meiner Testmaschine mal aufgesetzt. Da habe ich eben das Problem, dass ich munter anfragen an den Server schicken kann. Die 2FA kommt erst, "wenn ich schon auf dem Server bin"
Ich wollte die 2FA Auth quasi einen Schritt nach vorne schieben, erst Auth -> dann die Verbindung aufbauen zum Terminalserver
Danke für deine Antwort
Duo habe ich auf meiner Testmaschine mal aufgesetzt. Da habe ich eben das Problem, dass ich munter anfragen an den Server schicken kann. Die 2FA kommt erst, "wenn ich schon auf dem Server bin"
Ich wollte die 2FA Auth quasi einen Schritt nach vorne schieben, erst Auth -> dann die Verbindung aufbauen zum Terminalserver
Danke für deine Antwort
Wie wäre es, wenn Du das Ganze durch Guacamole schleust?
https://znil.net/index.php?title=Ubuntu_16.04.x_LTS_-_Guacamole_HTML5_Re ...
Wird hier sehr gut erklärt.
Zusätzlich installiert der Kollege einen Reverseproxy auf apache und hier sehe ich noch mal die Sicherheit, dass Du apache mod_ssl eine SSLVerfiyClient Require setzen könntest.
Dadurch würden nur Clients zum Guacamole weitergeleitet, die das richtige SSL-Zertifikat installiert haben.
Das wäre Faktor 1.
Anmeldung am Guacamole ist dann Faktor 2.
Und erst dann käme eine Sitzung zum TS zustande.
Vorteil:
Du brauchst keinen RDP-Client, denn das Ganze läuft browserbasiert ab.
Was hältst Du davon?
https://znil.net/index.php?title=Ubuntu_16.04.x_LTS_-_Guacamole_HTML5_Re ...
Wird hier sehr gut erklärt.
Zusätzlich installiert der Kollege einen Reverseproxy auf apache und hier sehe ich noch mal die Sicherheit, dass Du apache mod_ssl eine SSLVerfiyClient Require setzen könntest.
Dadurch würden nur Clients zum Guacamole weitergeleitet, die das richtige SSL-Zertifikat installiert haben.
Das wäre Faktor 1.
Anmeldung am Guacamole ist dann Faktor 2.
Und erst dann käme eine Sitzung zum TS zustande.
Vorteil:
Du brauchst keinen RDP-Client, denn das Ganze läuft browserbasiert ab.
Was hältst Du davon?
1
Hallo,
vieleicht ist das hier ja etwas für Dich?
https://secureaccess.pro/
Es ist ein Port-Security-Gateway.
Der RDP-Server wird so konfiguriert, dass er nur RDP-Verbindungen von dieser IP entgegennimmt.
Es bietete keine zusätzliche Verschlüsselung. Dies ist bei RDP aber ja gar nicht das Problem.
Es bietet einen sehr guten Schutz gegen Brute-Force- und Sicherheitslücken-Angriffen, da der RDP-Server nicht mehr direkt aus dem Internet erreichbar ist.
https://secureaccess.pro/angriffs-szenarien/
der Benutzer meldet sich an und verbindet sich dann über das Gateway mit seinem Server.
Viele Grüße
Stefan
vieleicht ist das hier ja etwas für Dich?
https://secureaccess.pro/
Es ist ein Port-Security-Gateway.
Der RDP-Server wird so konfiguriert, dass er nur RDP-Verbindungen von dieser IP entgegennimmt.
Es bietete keine zusätzliche Verschlüsselung. Dies ist bei RDP aber ja gar nicht das Problem.
Es bietet einen sehr guten Schutz gegen Brute-Force- und Sicherheitslücken-Angriffen, da der RDP-Server nicht mehr direkt aus dem Internet erreichbar ist.
https://secureaccess.pro/angriffs-szenarien/
der Benutzer meldet sich an und verbindet sich dann über das Gateway mit seinem Server.
Viele Grüße
Stefan
Hallo,
wenn Du den Port änderst, kommt praktisch kein Grundrauschen mehr an. Die übliche RDP-Härtung (SSL, Authentifizierung auf Netzwerkebene, Kontosperrungsrichtlinie, "Administrator"-Konto deaktivieren) nicht vergessen.
Grüße
Richard
wenn Du den Port änderst, kommt praktisch kein Grundrauschen mehr an. Die übliche RDP-Härtung (SSL, Authentifizierung auf Netzwerkebene, Kontosperrungsrichtlinie, "Administrator"-Konto deaktivieren) nicht vergessen.
Grüße
Richard
1
Ich werf mal HOB RD VPN in den Ring https://www.hob.de/produkte/remote-access/remote_desktop_vpn_editions.js ...
1
Ich werf mal https://duo.com/ in die Runde.
Benutz ich schon ewig für RDP und SSH. Man kann damit sehr viel mehr machen bzw. auch Custom Anwendungen bauen.
Der einzige Nachteil ab einer gewissen Useranzahl wird es eben kostenpflichtig.
mfg
maddig
Benutz ich schon ewig für RDP und SSH. Man kann damit sehr viel mehr machen bzw. auch Custom Anwendungen bauen.
Der einzige Nachteil ab einer gewissen Useranzahl wird es eben kostenpflichtig.
mfg
maddig
Moin,
wäre ein SSH Tunnel mit Key Auth eine Option?
Wenn Du Keys ohne Passphrase einsetzt kann über Putty der Tunnel per Mausklick aufgebaut werden und erst dann die RDP Verbindung aufgebaut werden? Du könntest es sogar scripten: Tunnel via SSH wird automatisch aufgebaut und der RDP Client startet.
-teddy
wäre ein SSH Tunnel mit Key Auth eine Option?
Wenn Du Keys ohne Passphrase einsetzt kann über Putty der Tunnel per Mausklick aufgebaut werden und erst dann die RDP Verbindung aufgebaut werden? Du könntest es sogar scripten: Tunnel via SSH wird automatisch aufgebaut und der RDP Client startet.
-teddy
1
Genau an sowas habe ich gedacht! Ich werde das mal ausprobieren.
Auch riesen Dank an alle anderen, die genatwortet haben. Viele sehr gute Ideen und Ansätze dabei und ich werde sicher einiges noch verwenden
Auch riesen Dank an alle anderen, die genatwortet haben. Viele sehr gute Ideen und Ansätze dabei und ich werde sicher einiges noch verwenden
Moin,
Üblicherweise kommt vor den RDS ja auch noch ein Remotegateway, da gibt es dann keinen offenen RDP Port sondern ganz normales HTTPS.
/Thomas
Üblicherweise kommt vor den RDS ja auch noch ein Remotegateway, da gibt es dann keinen offenen RDP Port sondern ganz normales HTTPS.
/Thomas
Zitat von @Th0mKa:
Üblicherweise kommt vor den RDS ja auch noch ein Remotegateway, da gibt es dann keinen offenen RDP Port sondern ganz normales HTTPS.
Aber nur wenn man dafür die Infrastruktur hat.Üblicherweise kommt vor den RDS ja auch noch ein Remotegateway, da gibt es dann keinen offenen RDP Port sondern ganz normales HTTPS.
Bei einem Vserver mit Windows bei Strato & Co geht das einfach nicht.
Auch VPN ist dort so ohne weiteres nicht möglich.
Auch gibt es viele die RDP auf Ihrem PC und eine Portweiterleitung in Ihrem Speedportrouter aktiviert haben.
2FA ohne VPN oder Gateway hat auch weiterhin das Problem, dass es Sicherheitslücken oder Benutzer ohne 2FA geben könnte.
So ein vergessener Test-Admin mit 1234 als Kennwort ist schon ziemlich böse....
Stefan
Das ist eine VM die nicht viel können muß.
Bei einem Vserver mit Windows bei Strato & Co geht das einfach nicht.
Auch VPN ist dort so ohne weiteres nicht möglich.
Dann ist das der falsche Anbieter.Auch VPN ist dort so ohne weiteres nicht möglich.
Auch gibt es viele die RDP auf Ihrem PC und eine Portweiterleitung in Ihrem Speedportrouter aktiviert haben.
Ja, am besten noch mit 56Bit Verschlüsselung. Nur weil viele etwas machen heißt das nicht das es gut und richtig ist.2FA ohne VPN oder Gateway hat auch weiterhin das Problem, dass es Sicherheitslücken oder Benutzer ohne 2FA geben könnte.
So ein vergessener Test-Admin mit 1234 als Kennwort ist schon ziemlich böse....
Kommen wir also wieder zurück zum Remotegateway, kann man dort alles einfachst konfigurieren.So ein vergessener Test-Admin mit 1234 als Kennwort ist schon ziemlich böse....
Hallo tkr104,
ich mache die Realität nicht
Ich versuche nur zu helfen wo Dinge bei Anderen in der Vergangenheit falsch umgesetzt wurden.
Anbieter die einzelne Server oder VMs vermieten und dafür Windows anbieten sind alle davon betroffen.
Solange es keine IaaS ist, kann man kaum ein VPN davor setzen.
Deshalb ist ein Security-Gateway meist die bessere Lösung.
Ich würde ja gerne mal wissen, wieviele Server Hetzner, 1&1, Strato und die anderen mit Windows vermietet haben.
Davon wird ein großer Teil RDP direkt zur Verfügung stellen.
Stefan
ich mache die Realität nicht
Ich versuche nur zu helfen wo Dinge bei Anderen in der Vergangenheit falsch umgesetzt wurden.
Anbieter die einzelne Server oder VMs vermieten und dafür Windows anbieten sind alle davon betroffen.
Solange es keine IaaS ist, kann man kaum ein VPN davor setzen.
Deshalb ist ein Security-Gateway meist die bessere Lösung.
Ich würde ja gerne mal wissen, wieviele Server Hetzner, 1&1, Strato und die anderen mit Windows vermietet haben.
Davon wird ein großer Teil RDP direkt zur Verfügung stellen.
Stefan
Jup kenne es von der Wortmann Cloud, da kann man bei IaaS ne SecurePoint Firewall vorschalten für VPN, Forwards, Masquerade etc.
