Remotedesktopserver auf einem vServer - Sicherheit?
Hallo Leute,
ich bräuchte einen Rat, was haltet ihr davon, einen Terminalserver(Remotedesktopserver) auf einem vServer(öffentlich) zu installieren?
Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?
Ich bin mal auf die Antworten gespannt.
Gruß
Atrono
ich bräuchte einen Rat, was haltet ihr davon, einen Terminalserver(Remotedesktopserver) auf einem vServer(öffentlich) zu installieren?
Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?
Ich bin mal auf die Antworten gespannt.
Gruß
Atrono
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296558
Url: https://administrator.de/contentid/296558
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
ich kann Dir nur empfehlen, niemals eine Windows-Büchse direkt ans Internet zu nehmen, wenn es nicht zwingend erforderlich ist, oder nicht anders geht.
Ich hab nen Exchange-2010 zum Beispiel direkt am Netz hinter einer externen Firewall und fühle mich auch nie wirklich wohl.
Du hast da eigentlich nur die Authentifizierung als einzige Hürde. Wenn ein Konto geknackt wird, sieht es schlecht aus.
Ich würde eine VPN-Anbindung davor bauen.
ich kann Dir nur empfehlen, niemals eine Windows-Büchse direkt ans Internet zu nehmen, wenn es nicht zwingend erforderlich ist, oder nicht anders geht.
Ich hab nen Exchange-2010 zum Beispiel direkt am Netz hinter einer externen Firewall und fühle mich auch nie wirklich wohl.
Du hast da eigentlich nur die Authentifizierung als einzige Hürde. Wenn ein Konto geknackt wird, sieht es schlecht aus.
Ich würde eine VPN-Anbindung davor bauen.
Ok - und WARUM ist da was dran das man Win-Maschinen nicht öffentlich betreiben sollte? Ich würde mal behaupten das jemand der sein Handwerk versteht die Kiste genauso sicher bekommt wie jedes andere OS - und jemand der keine Ahnung hat sollte generell _nichts_ einfach ins Web stellen und gucken was passiert.
Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?
Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?
Zitat von @maretz:
Ok - und WARUM ist da was dran das man Win-Maschinen nicht öffentlich betreiben sollte? Ich würde mal behaupten das jemand der sein Handwerk versteht die Kiste genauso sicher bekommt wie jedes andere OS - und jemand der keine Ahnung hat sollte generell _nichts_ einfach ins Web stellen und gucken was passiert.
Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?
Ok - und WARUM ist da was dran das man Win-Maschinen nicht öffentlich betreiben sollte? Ich würde mal behaupten das jemand der sein Handwerk versteht die Kiste genauso sicher bekommt wie jedes andere OS - und jemand der keine Ahnung hat sollte generell _nichts_ einfach ins Web stellen und gucken was passiert.
Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?
Das ist eben falsch. Bei einer Firewall geht es eben darum ein gehärtetes System vor den eigentlichen Angriffszielen zu positionieren. EIn potentielles Angriffsziel so zu härten, wie eine Firewall ist eben de facto nicht möglich. Desweiteren gehe ich bspw mittlerweile sogar dazu über, dass kein Webserver (egal ob Win/IIS oder LAMP) straight forward im Web publiziert wird.
Das hat nichts mit dem können der Einrichtung zu tun, sondern schlicht damit, dass doppelt geschützt im Sinne der heutigen Programmzeilenmenge besser ist, als wenn ein System ungehärtet im Netz hängt.
Ergo: Finger weg. Bei Bedarf, lass uns mal über eine Lösung reden - gilt natürlich auch an alle anderen.
Man hat am Ende des Tages einfach nichts davon, wenn kritische Daten entweder auf der Straße liegen oder der Konkurrenz dienen. Selbst ein möglicher Spamversender uvm ist nicht das wahre.
VG,
Christian
Moin,
ich sehe es ähnlich wie Kollege @maretz. Denn durch gewisste Komplexität kann auch schnell wieder ein Sicherheitsloch wieder offen stehen, weil man nicht alles bedacht hat. Keep it Simple... Wir betreiben auch mehrere Windows-Server am Internet. Dazwischen steht nur die Windows-Firewall, mehr auch nicht. Falls möglich die RDP-Regel auf bestimmte IP-Adressen beschränken, was kein Hexenwerk ist. Wichtig ist aber zeitnah die neusten Windows Update einzuspielen und einen Virenscanner schadet auch nie.
Gruß,
Dani
ich sehe es ähnlich wie Kollege @maretz. Denn durch gewisste Komplexität kann auch schnell wieder ein Sicherheitsloch wieder offen stehen, weil man nicht alles bedacht hat. Keep it Simple... Wir betreiben auch mehrere Windows-Server am Internet. Dazwischen steht nur die Windows-Firewall, mehr auch nicht. Falls möglich die RDP-Regel auf bestimmte IP-Adressen beschränken, was kein Hexenwerk ist. Wichtig ist aber zeitnah die neusten Windows Update einzuspielen und einen Virenscanner schadet auch nie.
Gruß,
Dani
Moin,
Bei einer firewall gilt aber dasselbe: weisst du was du machst ist das unterliegende system egal (auch bei hardware liegt ja nen os drunter - siehe zb aktuelle kritische lücke bei der asa von cisco). Weisst du es nicht bringt ne firewall nix ausser lustige bunte bilder und ein falsches gefühl der sicherheit.
Und eines ändert eine firewall nicht - die pflicht die server vernünftig zu sichern. Denn die firewall ist lediglich ein erster punkt, das heisst aber nicht das dahinter alles offen wie das scheunentor sein darf. Und auch da ist das os dahinter egal...
Nehmen wir mal den klassiker - du machst deine fw super sicher von aussen - und rdp-user 1 startet stumpf teamviewer auf dem server mit festen passwort "12345". Wenn deine fw von innen alles rauslässt kannst du dir die fw auch gleich sparen - egal ob sw oder hw. Und selbst wenn die fw von innen nach aussen sperrt dann sollte sowas auch vom serveradmin unterbunden werden - da deine fw allein nicht alles blocken kann
Bei einer firewall gilt aber dasselbe: weisst du was du machst ist das unterliegende system egal (auch bei hardware liegt ja nen os drunter - siehe zb aktuelle kritische lücke bei der asa von cisco). Weisst du es nicht bringt ne firewall nix ausser lustige bunte bilder und ein falsches gefühl der sicherheit.
Und eines ändert eine firewall nicht - die pflicht die server vernünftig zu sichern. Denn die firewall ist lediglich ein erster punkt, das heisst aber nicht das dahinter alles offen wie das scheunentor sein darf. Und auch da ist das os dahinter egal...
Nehmen wir mal den klassiker - du machst deine fw super sicher von aussen - und rdp-user 1 startet stumpf teamviewer auf dem server mit festen passwort "12345". Wenn deine fw von innen alles rauslässt kannst du dir die fw auch gleich sparen - egal ob sw oder hw. Und selbst wenn die fw von innen nach aussen sperrt dann sollte sowas auch vom serveradmin unterbunden werden - da deine fw allein nicht alles blocken kann
Zitat von @Atrono:
Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?
Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?
Ja.
Ich bin mal auf die Antworten gespannt.
Was erwartest Du?
lks
Nachtrag, nachdem ich mir die anderen Antworten durchgelesen habe:
Prinzipiell ist es egal ob man das System härtet und direkt "rausstellt" oder einen Türsteher (aka firewall) davorstellt, der nur erlaubtes durchläßt. Ist eher eine Philisophiefrage.
Ich bevorzuge letzteres. Denn an der Firewall muß selten etwas gedreht werden und man kann dort notfalls den Hahn zudrehen, wenn irgendein exploit bekannt werden sollte, ohne groß an der Konfigruration des Server drehen muß. Ansonsten muß man nämlich beim Server penibel drauf achten, nicht durch Nachlässigkeit Löcher zu reißen, die die Sicherheit gefährden. Und im Falle von bekanntgeowrdenen Exploits muß man eventuell viel zuviel am Server verstellen, statt einfach an der Firewall dicht zu machen.
In deinem Anwendungsfall würde ich als einzigen Zugang nur VPN zulassen und die Dienste, wie z.B. RDP nur "lokal" zulassen. Ob das VPN auf einer Firewall direkt davor terminiert wird oder auf dem Server selber, sei mal dahingestellt.
lks
Moin,
auch da ist die Frage eher nach deinen Kenntnissen. Es ist völlig egal ob du nun ein VPN in ein Büro oder zu einem Webserver einrichtest, ob du da RDP, http oder sonstwas drüber machst.
Wenn du weisst was du da machst ist das Risiko überschaubar - fertig. Beim Webserver hast du halt den Vorteil der höheren Geschwindigkeit damit erkauft das du mehr Probleme beim Backup/Restore hast (bare-metal-restore ist da meist schwerer). Ebenfalls erkaufst du dir den Vorteil der statischen Adresse (was für ein VPN deutlich leichter ist) damit das du eben mehr Kiddys hast die solche Büchsen scannen.
Ob das ganze dann so geht wie du willst hängt somit nur von deinen Kenntnissen und eurer Software ab. Z.B. können die vorhandenen Drucker remote genutzt werden (blöd wenn z.B. die Software irgendwelche Durchschlagdrucker erwartet - du aber überall Laser/Tintenstrahldrucker hast - oder wenn die Software z.B. einen Hardware-Token benötigt). Ist das alles geklärt und deine Kenntnisse sind ausreichend ist ein Webserver natürlich eine gute Wahl weil du da kein Problem mit Kühlung, Redundanter Anbindung oder Stromversorgung hast.
Nur bitte auch an eines denken: Wenn du die Kenntnisse _NICHT_ hast dann kann es grade für ein Unternehmen am Anfang das schnelle Ende bedeuten wenn denen der Kram auseinander fliegt weil da gefrickelt wurde (und es ist nicht das erste Unternehmen was zu Anfang Geld sparen will - und z.T. dann eben einen Schüler damit beschäftigt mal eben die IT aufzubauen, immerhin hat der ja mal nen Netzwerkkabel gesehen....). Auch dies kannst nur du selbst beantworten.
auch da ist die Frage eher nach deinen Kenntnissen. Es ist völlig egal ob du nun ein VPN in ein Büro oder zu einem Webserver einrichtest, ob du da RDP, http oder sonstwas drüber machst.
Wenn du weisst was du da machst ist das Risiko überschaubar - fertig. Beim Webserver hast du halt den Vorteil der höheren Geschwindigkeit damit erkauft das du mehr Probleme beim Backup/Restore hast (bare-metal-restore ist da meist schwerer). Ebenfalls erkaufst du dir den Vorteil der statischen Adresse (was für ein VPN deutlich leichter ist) damit das du eben mehr Kiddys hast die solche Büchsen scannen.
Ob das ganze dann so geht wie du willst hängt somit nur von deinen Kenntnissen und eurer Software ab. Z.B. können die vorhandenen Drucker remote genutzt werden (blöd wenn z.B. die Software irgendwelche Durchschlagdrucker erwartet - du aber überall Laser/Tintenstrahldrucker hast - oder wenn die Software z.B. einen Hardware-Token benötigt). Ist das alles geklärt und deine Kenntnisse sind ausreichend ist ein Webserver natürlich eine gute Wahl weil du da kein Problem mit Kühlung, Redundanter Anbindung oder Stromversorgung hast.
Nur bitte auch an eines denken: Wenn du die Kenntnisse _NICHT_ hast dann kann es grade für ein Unternehmen am Anfang das schnelle Ende bedeuten wenn denen der Kram auseinander fliegt weil da gefrickelt wurde (und es ist nicht das erste Unternehmen was zu Anfang Geld sparen will - und z.T. dann eben einen Schüler damit beschäftigt mal eben die IT aufzubauen, immerhin hat der ja mal nen Netzwerkkabel gesehen....). Auch dies kannst nur du selbst beantworten.