atrono
Goto Top

Remotedesktopserver auf einem vServer - Sicherheit?

Hallo Leute,

ich bräuchte einen Rat, was haltet ihr davon, einen Terminalserver(Remotedesktopserver) auf einem vServer(öffentlich) zu installieren?
Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?

Ich bin mal auf die Antworten gespannt.

Gruß
Atrono

Content-ID: 296558

Url: https://administrator.de/contentid/296558

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 17.02.2016 um 17:13:17 Uhr
Goto Top
Hi,

ich kann Dir nur empfehlen, niemals eine Windows-Büchse direkt ans Internet zu nehmen, wenn es nicht zwingend erforderlich ist, oder nicht anders geht.
Ich hab nen Exchange-2010 zum Beispiel direkt am Netz hinter einer externen Firewall und fühle mich auch nie wirklich wohl.

Du hast da eigentlich nur die Authentifizierung als einzige Hürde. Wenn ein Konto geknackt wird, sieht es schlecht aus.

Ich würde eine VPN-Anbindung davor bauen.
Atrono
Atrono 17.02.2016 um 17:24:26 Uhr
Goto Top
Hey beidermachtvongreyscull,

danke für die schnelle Antwort!

Ja da ist wohl was dran, mit "Windows Maschinen" niemals öffentlich betreiben.
VPN-Anbindung vor den vServer wird eher schwer, da es ja ein gemieteter vServer wäre.
maretz
maretz 17.02.2016 um 17:33:55 Uhr
Goto Top
Ok - und WARUM ist da was dran das man Win-Maschinen nicht öffentlich betreiben sollte? Ich würde mal behaupten das jemand der sein Handwerk versteht die Kiste genauso sicher bekommt wie jedes andere OS - und jemand der keine Ahnung hat sollte generell _nichts_ einfach ins Web stellen und gucken was passiert.

Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?
certifiedit.net
certifiedit.net 17.02.2016 um 19:58:40 Uhr
Goto Top
Zitat von @maretz:

Ok - und WARUM ist da was dran das man Win-Maschinen nicht öffentlich betreiben sollte? Ich würde mal behaupten das jemand der sein Handwerk versteht die Kiste genauso sicher bekommt wie jedes andere OS - und jemand der keine Ahnung hat sollte generell _nichts_ einfach ins Web stellen und gucken was passiert.

Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?

Das ist eben falsch. Bei einer Firewall geht es eben darum ein gehärtetes System vor den eigentlichen Angriffszielen zu positionieren. EIn potentielles Angriffsziel so zu härten, wie eine Firewall ist eben de facto nicht möglich. Desweiteren gehe ich bspw mittlerweile sogar dazu über, dass kein Webserver (egal ob Win/IIS oder LAMP) straight forward im Web publiziert wird.

Das hat nichts mit dem können der Einrichtung zu tun, sondern schlicht damit, dass doppelt geschützt im Sinne der heutigen Programmzeilenmenge besser ist, als wenn ein System ungehärtet im Netz hängt.

Ergo: Finger weg. Bei Bedarf, lass uns mal über eine Lösung reden - gilt natürlich auch an alle anderen.

Man hat am Ende des Tages einfach nichts davon, wenn kritische Daten entweder auf der Straße liegen oder der Konkurrenz dienen. Selbst ein möglicher Spamversender uvm ist nicht das wahre.

VG,

Christian
Dani
Dani 17.02.2016 um 20:36:22 Uhr
Goto Top
Moin,
ich sehe es ähnlich wie Kollege @maretz. Denn durch gewisste Komplexität kann auch schnell wieder ein Sicherheitsloch wieder offen stehen, weil man nicht alles bedacht hat. Keep it Simple... Wir betreiben auch mehrere Windows-Server am Internet. Dazwischen steht nur die Windows-Firewall, mehr auch nicht. Falls möglich die RDP-Regel auf bestimmte IP-Adressen beschränken, was kein Hexenwerk ist. Wichtig ist aber zeitnah die neusten Windows Update einzuspielen und einen Virenscanner schadet auch nie.


Gruß,
Dani
maretz
maretz 17.02.2016 um 20:46:11 Uhr
Goto Top
Moin,
Bei einer firewall gilt aber dasselbe: weisst du was du machst ist das unterliegende system egal (auch bei hardware liegt ja nen os drunter - siehe zb aktuelle kritische lücke bei der asa von cisco). Weisst du es nicht bringt ne firewall nix ausser lustige bunte bilder und ein falsches gefühl der sicherheit.

Und eines ändert eine firewall nicht - die pflicht die server vernünftig zu sichern. Denn die firewall ist lediglich ein erster punkt, das heisst aber nicht das dahinter alles offen wie das scheunentor sein darf. Und auch da ist das os dahinter egal...

Nehmen wir mal den klassiker - du machst deine fw super sicher von aussen - und rdp-user 1 startet stumpf teamviewer auf dem server mit festen passwort "12345". Wenn deine fw von innen alles rauslässt kannst du dir die fw auch gleich sparen - egal ob sw oder hw. Und selbst wenn die fw von innen nach aussen sperrt dann sollte sowas auch vom serveradmin unterbunden werden - da deine fw allein nicht alles blocken kann
Lochkartenstanzer
Lochkartenstanzer 17.02.2016 aktualisiert um 21:40:35 Uhr
Goto Top
Zitat von @Atrono:

Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?

Ja.

Ich bin mal auf die Antworten gespannt.

Was erwartest Du?

lks

Nachtrag, nachdem ich mir die anderen Antworten durchgelesen habe:

Prinzipiell ist es egal ob man das System härtet und direkt "rausstellt" oder einen Türsteher (aka firewall) davorstellt, der nur erlaubtes durchläßt. Ist eher eine Philisophiefrage.

Ich bevorzuge letzteres. Denn an der Firewall muß selten etwas gedreht werden und man kann dort notfalls den Hahn zudrehen, wenn irgendein exploit bekannt werden sollte, ohne groß an der Konfigruration des Server drehen muß. Ansonsten muß man nämlich beim Server penibel drauf achten, nicht durch Nachlässigkeit Löcher zu reißen, die die Sicherheit gefährden. Und im Falle von bekanntgeowrdenen Exploits muß man eventuell viel zuviel am Server verstellen, statt einfach an der Firewall dicht zu machen.

In deinem Anwendungsfall würde ich als einzigen Zugang nur VPN zulassen und die Dienste, wie z.B. RDP nur "lokal" zulassen. Ob das VPN auf einer Firewall direkt davor terminiert wird oder auf dem Server selber, sei mal dahingestellt.

lks
Atrono
Atrono 18.02.2016 um 16:47:49 Uhr
Goto Top
Hi @ all,

danke für die super Antworten!

So wie ich das verstehe ist es Geschmackssache, einen Windows Server öffentlich in's Internet zu stellen. Es kommt auf die Benutzer und den eventuellen risikofreudigen Administrator drauf an.

Was erwartest Du?
Naja ich versuche mir hier ein paar Erfahrungen zu Sammeln, bis jetzt habe ich noch nie einen RDS öffentlich im netz gehabt. Er war immer hinter einer Firewall und das Verbinden mit diesem, war meistens auch nur mittels VPN machbar.

Vielleicht sollte ich noch erklären, warum ich ein RDS auf einem vServer betreiben möchte.
Und zwar habe ich ein Anfrage bekommen, ein CRM zu installieren und auch den Zugriff von außen zu gewährleisten. Nun ist es so, dass die Firma relativ am Anfang ist, dies bedeutet kaum Geld für einen Server, da die Anschaffungskosten zu hoch sind. Ein Büro gibt es zwar schon aber die MA arbeiten auch gerne von zuhause, zwei Desktop PCs gibt es auch schon. Auf dem einen läuft das CRM im Moment schon, Backup Fehlanzeige.

Ich denke halt, ein RDS ist eine Kalkulierbare alternative zu einem Server am Anfang einer Firma. Was meint Ihr?

Grüße
atrono
maretz
maretz 19.02.2016 um 11:01:02 Uhr
Goto Top
Moin,

auch da ist die Frage eher nach deinen Kenntnissen. Es ist völlig egal ob du nun ein VPN in ein Büro oder zu einem Webserver einrichtest, ob du da RDP, http oder sonstwas drüber machst.

Wenn du weisst was du da machst ist das Risiko überschaubar - fertig. Beim Webserver hast du halt den Vorteil der höheren Geschwindigkeit damit erkauft das du mehr Probleme beim Backup/Restore hast (bare-metal-restore ist da meist schwerer). Ebenfalls erkaufst du dir den Vorteil der statischen Adresse (was für ein VPN deutlich leichter ist) damit das du eben mehr Kiddys hast die solche Büchsen scannen.

Ob das ganze dann so geht wie du willst hängt somit nur von deinen Kenntnissen und eurer Software ab. Z.B. können die vorhandenen Drucker remote genutzt werden (blöd wenn z.B. die Software irgendwelche Durchschlagdrucker erwartet - du aber überall Laser/Tintenstrahldrucker hast - oder wenn die Software z.B. einen Hardware-Token benötigt). Ist das alles geklärt und deine Kenntnisse sind ausreichend ist ein Webserver natürlich eine gute Wahl weil du da kein Problem mit Kühlung, Redundanter Anbindung oder Stromversorgung hast.

Nur bitte auch an eines denken: Wenn du die Kenntnisse _NICHT_ hast dann kann es grade für ein Unternehmen am Anfang das schnelle Ende bedeuten wenn denen der Kram auseinander fliegt weil da gefrickelt wurde (und es ist nicht das erste Unternehmen was zu Anfang Geld sparen will - und z.T. dann eben einen Schüler damit beschäftigt mal eben die IT aufzubauen, immerhin hat der ja mal nen Netzwerkkabel gesehen....). Auch dies kannst nur du selbst beantworten.