9
Thin Clients ins VLAN nur Port 3389 - Ausnahmen von Fat Clients
Moin,
wir haben Thin Clients (raspberry pi) z.Z. im gleichen Netz wie die Server.
Die Clients nutzen nur Remote Desktop Services und könnten in ein extra VLAN mit DHCP und nur Öffnung von Port 3389
Als Ausnahmen haben wir drei Windows Workstations, diese sollen auch ins I-Net können. Und bei den Windows Kisten sehe ich eine Gefahr von Einschleusung von Schadware durch I-Net oder USB Sticks.
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
LG
wir haben Thin Clients (raspberry pi) z.Z. im gleichen Netz wie die Server.
Die Clients nutzen nur Remote Desktop Services und könnten in ein extra VLAN mit DHCP und nur Öffnung von Port 3389
Als Ausnahmen haben wir drei Windows Workstations, diese sollen auch ins I-Net können. Und bei den Windows Kisten sehe ich eine Gefahr von Einschleusung von Schadware durch I-Net oder USB Sticks.
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3994080554
Url: https://administrator.de/contentid/3994080554
Printed on: April 23, 2024 at 10:04 o'clock
9 Comments
Latest comment
Befinden sich die 3 Windows Kisten im selben VLAN wie die Thin Clients?
Zur Zeit ist alles im gleichen Netz, Server sowie Clients.
Well erst VLAN einrichten
Well erst VLAN einrichten
Moin,
ich würde es separieren. Ist deutlich verständlicher und einfacher vom Firewall Regelwerk. Auch wenn mal ein Client dazu kommt oder wegfällt. Dann hast du die Regeln pro Interface und nicht irgendwie auf Basis von Leases oder Reservierungen.
VG
ich würde es separieren. Ist deutlich verständlicher und einfacher vom Firewall Regelwerk. Auch wenn mal ein Client dazu kommt oder wegfällt. Dann hast du die Regeln pro Interface und nicht irgendwie auf Basis von Leases oder Reservierungen.
VG
Gucke dir mal die letzten schwerwiegenden Probleme mit dem Protokoll an, dann überprüfe deine Ansichten/Frage noch mal.
Gucke dir mal die letzten schwerwiegenden Probleme mit dem Protokoll an
Meinst du das RDP Protokoll, das Port 3389 verwendet?Was würde das jetzt dem TO bedeuten? Das kommt doch auf das Gleiche raus, ob er das VLAN isoliert und Port 3389 durchlässt oder alles gleich im gleichen Netz lässt und Port 3389 verwendet.
Besser wäre die Aussage: Es gibt so viele andere Protokolle, die sich lohnen zu sperren.
Es geht darum, das der Gedanke ich packe Clients und Server in eine VLAN, weil ich RDP auf 3389 nicht traue in erster Linie nur eines bringt: Ein weiteres VLAN. Mit Sicherheit hat das wenig bis nichts zu tun.
Mir geht es mehr um die Clients. Die müssen ja nur RDP können.
Und die User sollen damit nix anders machen können
Und die User sollen damit nix anders machen können
Zitat von @Otto1699:
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
Morschen.
Ja, es sollte ein VLAN geben für die Thinclients. Diese haben dann nur Zugriff via Port 3389 auf den RDS Server (oder die Farm).
Die drei speziellen Windows Clients könntest du dann entweder im selben VLAN unterbringen und dann mit Firewall Ausnahmen mehr zulassen oder in ein eigenes VLAN stecken mit eigenen Regeln.
Der Zugriff sollte auch auf der Eingangsseite, also dem RDS Server begrenzt sein. Das heißt entweder in der übergreifenden oder der lokalen Windows Firewall ein bestimmtes Subnetz oder eine bestimmte IP Range begrenzen.
Schabernack kann man immer und überall betreiben, denn man muss ja Löcher aufmachen, sonst ist kein Arbeiten möglich. Aber wenn man zumindest die Haupt-Einfallstore etwas schließt, sollte ein gutes Gefühl aufkommen.
Gruß
Marc
Hallo,
da ich kein Freund davon bin, das Rad jedesmal neu zu erfinden, nehme ich gerne die Empfehlungen des BSI/IT-Grundschutzes zur Hilfe - quasi als „best practice“.
Für deine Fragestellung kämen z.B. die Punkte
Gruß
TA
da ich kein Freund davon bin, das Rad jedesmal neu zu erfinden, nehme ich gerne die Empfehlungen des BSI/IT-Grundschutzes zur Hilfe - quasi als „best practice“.
Für deine Fragestellung kämen z.B. die Punkte
- NET.1.1.A5 Client-Server-Segmentierung (B)
- NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B)
Gruß
TA
1
