Remotedesktopserver auf einem vServer - Sicherheit?

Mitglied: Atrono

Atrono (Level 1) - Jetzt verbinden

17.02.2016 um 17:09 Uhr, 941 Aufrufe, 9 Kommentare, 2 Danke

Hallo Leute,

ich bräuchte einen Rat, was haltet ihr davon, einen Terminalserver(Remotedesktopserver) auf einem vServer(öffentlich) zu installieren?
Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?

Ich bin mal auf die Antworten gespannt.

Gruß
Atrono
Mitglied: beidermachtvongreyscull
17.02.2016 um 17:13 Uhr
Hi,

ich kann Dir nur empfehlen, niemals eine Windows-Büchse direkt ans Internet zu nehmen, wenn es nicht zwingend erforderlich ist, oder nicht anders geht.
Ich hab nen Exchange-2010 zum Beispiel direkt am Netz hinter einer externen Firewall und fühle mich auch nie wirklich wohl.

Du hast da eigentlich nur die Authentifizierung als einzige Hürde. Wenn ein Konto geknackt wird, sieht es schlecht aus.

Ich würde eine VPN-Anbindung davor bauen.
Bitte warten ..
Mitglied: Atrono
17.02.2016 um 17:24 Uhr
Hey beidermachtvongreyscull,

danke für die schnelle Antwort!

Ja da ist wohl was dran, mit "Windows Maschinen" niemals öffentlich betreiben.
VPN-Anbindung vor den vServer wird eher schwer, da es ja ein gemieteter vServer wäre.
Bitte warten ..
Mitglied: maretz
17.02.2016 um 17:33 Uhr
Ok - und WARUM ist da was dran das man Win-Maschinen nicht öffentlich betreiben sollte? Ich würde mal behaupten das jemand der sein Handwerk versteht die Kiste genauso sicher bekommt wie jedes andere OS - und jemand der keine Ahnung hat sollte generell _nichts_ einfach ins Web stellen und gucken was passiert.

Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?
Bitte warten ..
Mitglied: certifiedit.net
17.02.2016 um 19:58 Uhr
Zitat von @maretz:

Ok - und WARUM ist da was dran das man Win-Maschinen nicht öffentlich betreiben sollte? Ich würde mal behaupten das jemand der sein Handwerk versteht die Kiste genauso sicher bekommt wie jedes andere OS - und jemand der keine Ahnung hat sollte generell _nichts_ einfach ins Web stellen und gucken was passiert.

Wenn du z.B. dafür sorgst das ausser RDP nichts erreichbar ist (oder nur das gewollte) und deine Passwörter gut wählst ist da nichts gegen einzuwenden (IIS-Server sind auch z.B. Win-Maschinen). Wenn du ne Linux-Büchse ans Netz hängst und als Root-PW root, 12345, password und die üblichen verdächtigen wählst - meinst wirklich jemand das ist besser?

Das ist eben falsch. Bei einer Firewall geht es eben darum ein gehärtetes System vor den eigentlichen Angriffszielen zu positionieren. EIn potentielles Angriffsziel so zu härten, wie eine Firewall ist eben de facto nicht möglich. Desweiteren gehe ich bspw mittlerweile sogar dazu über, dass kein Webserver (egal ob Win/IIS oder LAMP) straight forward im Web publiziert wird.

Das hat nichts mit dem können der Einrichtung zu tun, sondern schlicht damit, dass doppelt geschützt im Sinne der heutigen Programmzeilenmenge besser ist, als wenn ein System ungehärtet im Netz hängt.

Ergo: Finger weg. Bei Bedarf, lass uns mal über eine Lösung reden - gilt natürlich auch an alle anderen.

Man hat am Ende des Tages einfach nichts davon, wenn kritische Daten entweder auf der Straße liegen oder der Konkurrenz dienen. Selbst ein möglicher Spamversender uvm ist nicht das wahre.

VG,

Christian
Bitte warten ..
Mitglied: Dani
17.02.2016 um 20:36 Uhr
Moin,
ich sehe es ähnlich wie Kollege @maretz. Denn durch gewisste Komplexität kann auch schnell wieder ein Sicherheitsloch wieder offen stehen, weil man nicht alles bedacht hat. Keep it Simple... Wir betreiben auch mehrere Windows-Server am Internet. Dazwischen steht nur die Windows-Firewall, mehr auch nicht. Falls möglich die RDP-Regel auf bestimmte IP-Adressen beschränken, was kein Hexenwerk ist. Wichtig ist aber zeitnah die neusten Windows Update einzuspielen und einen Virenscanner schadet auch nie.


Gruß,
Dani
Bitte warten ..
Mitglied: maretz
17.02.2016 um 20:46 Uhr
Moin,
Bei einer firewall gilt aber dasselbe: weisst du was du machst ist das unterliegende system egal (auch bei hardware liegt ja nen os drunter - siehe zb aktuelle kritische lücke bei der asa von cisco). Weisst du es nicht bringt ne firewall nix ausser lustige bunte bilder und ein falsches gefühl der sicherheit.

Und eines ändert eine firewall nicht - die pflicht die server vernünftig zu sichern. Denn die firewall ist lediglich ein erster punkt, das heisst aber nicht das dahinter alles offen wie das scheunentor sein darf. Und auch da ist das os dahinter egal...

Nehmen wir mal den klassiker - du machst deine fw super sicher von aussen - und rdp-user 1 startet stumpf teamviewer auf dem server mit festen passwort "12345". Wenn deine fw von innen alles rauslässt kannst du dir die fw auch gleich sparen - egal ob sw oder hw. Und selbst wenn die fw von innen nach aussen sperrt dann sollte sowas auch vom serveradmin unterbunden werden - da deine fw allein nicht alles blocken kann
Bitte warten ..
Mitglied: Lochkartenstanzer
17.02.2016, aktualisiert um 21:40 Uhr
Zitat von @Atrono:

Meint ihr das ist grundsätzlich zu unsicher, wenn der RDS nicht hinter einer externen Firewall ist?

Ja.

Ich bin mal auf die Antworten gespannt.

Was erwartest Du?

lks

Nachtrag, nachdem ich mir die anderen Antworten durchgelesen habe:

Prinzipiell ist es egal ob man das System härtet und direkt "rausstellt" oder einen Türsteher (aka firewall) davorstellt, der nur erlaubtes durchläßt. Ist eher eine Philisophiefrage.

Ich bevorzuge letzteres. Denn an der Firewall muß selten etwas gedreht werden und man kann dort notfalls den Hahn zudrehen, wenn irgendein exploit bekannt werden sollte, ohne groß an der Konfigruration des Server drehen muß. Ansonsten muß man nämlich beim Server penibel drauf achten, nicht durch Nachlässigkeit Löcher zu reißen, die die Sicherheit gefährden. Und im Falle von bekanntgeowrdenen Exploits muß man eventuell viel zuviel am Server verstellen, statt einfach an der Firewall dicht zu machen.

In deinem Anwendungsfall würde ich als einzigen Zugang nur VPN zulassen und die Dienste, wie z.B. RDP nur "lokal" zulassen. Ob das VPN auf einer Firewall direkt davor terminiert wird oder auf dem Server selber, sei mal dahingestellt.

lks
Bitte warten ..
Mitglied: Atrono
18.02.2016 um 16:47 Uhr
Hi @ all,

danke für die super Antworten!

So wie ich das verstehe ist es Geschmackssache, einen Windows Server öffentlich in's Internet zu stellen. Es kommt auf die Benutzer und den eventuellen risikofreudigen Administrator drauf an.

Was erwartest Du?
Naja ich versuche mir hier ein paar Erfahrungen zu Sammeln, bis jetzt habe ich noch nie einen RDS öffentlich im netz gehabt. Er war immer hinter einer Firewall und das Verbinden mit diesem, war meistens auch nur mittels VPN machbar.

Vielleicht sollte ich noch erklären, warum ich ein RDS auf einem vServer betreiben möchte.
Und zwar habe ich ein Anfrage bekommen, ein CRM zu installieren und auch den Zugriff von außen zu gewährleisten. Nun ist es so, dass die Firma relativ am Anfang ist, dies bedeutet kaum Geld für einen Server, da die Anschaffungskosten zu hoch sind. Ein Büro gibt es zwar schon aber die MA arbeiten auch gerne von zuhause, zwei Desktop PCs gibt es auch schon. Auf dem einen läuft das CRM im Moment schon, Backup Fehlanzeige.

Ich denke halt, ein RDS ist eine Kalkulierbare alternative zu einem Server am Anfang einer Firma. Was meint Ihr?

Grüße
atrono
Bitte warten ..
Mitglied: maretz
19.02.2016 um 11:01 Uhr
Moin,

auch da ist die Frage eher nach deinen Kenntnissen. Es ist völlig egal ob du nun ein VPN in ein Büro oder zu einem Webserver einrichtest, ob du da RDP, http oder sonstwas drüber machst.

Wenn du weisst was du da machst ist das Risiko überschaubar - fertig. Beim Webserver hast du halt den Vorteil der höheren Geschwindigkeit damit erkauft das du mehr Probleme beim Backup/Restore hast (bare-metal-restore ist da meist schwerer). Ebenfalls erkaufst du dir den Vorteil der statischen Adresse (was für ein VPN deutlich leichter ist) damit das du eben mehr Kiddys hast die solche Büchsen scannen.

Ob das ganze dann so geht wie du willst hängt somit nur von deinen Kenntnissen und eurer Software ab. Z.B. können die vorhandenen Drucker remote genutzt werden (blöd wenn z.B. die Software irgendwelche Durchschlagdrucker erwartet - du aber überall Laser/Tintenstrahldrucker hast - oder wenn die Software z.B. einen Hardware-Token benötigt). Ist das alles geklärt und deine Kenntnisse sind ausreichend ist ein Webserver natürlich eine gute Wahl weil du da kein Problem mit Kühlung, Redundanter Anbindung oder Stromversorgung hast.

Nur bitte auch an eines denken: Wenn du die Kenntnisse _NICHT_ hast dann kann es grade für ein Unternehmen am Anfang das schnelle Ende bedeuten wenn denen der Kram auseinander fliegt weil da gefrickelt wurde (und es ist nicht das erste Unternehmen was zu Anfang Geld sparen will - und z.T. dann eben einen Schüler damit beschäftigt mal eben die IT aufzubauen, immerhin hat der ja mal nen Netzwerkkabel gesehen....). Auch dies kannst nur du selbst beantworten.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Infrastruktur für Firma
brainwashVor 20 StundenFrageWindows Server8 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 21 StundenAllgemeinServer-Hardware9 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 1 TagFrageWindows Server10 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

LAN, WAN, Wireless
WLan-unterstütztes Telefonieren iOS, Unifi
VisuciusVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo. Ich bins (wieder) ;-) Guten Morgen, ich beobachte seit einer Umstellung ein "komisches Verhalten" und kann mir das gerade nicht erklären. Und vielleicht ...

LAN, WAN, Wireless
Heimnetzwerk mit VLAN - getrennter Internetzugang
gelöst anyibkVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo liebe Community! Ich bastle seit einiger Zeit an einem recht besonderen Heimnetzwerkproblem. Wir haben einen neuen Glasfaseranschluss ins Haus (3 Parteien) bekommen und ...

LAN, WAN, Wireless
Verständnisfrage VPN Performance pfSense
flabsVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin Kollegen, ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren ...