Thin Clients ins VLAN nur Port 3389 - Ausnahmen von Fat Clients
Moin,
wir haben Thin Clients (raspberry pi) z.Z. im gleichen Netz wie die Server.
Die Clients nutzen nur Remote Desktop Services und könnten in ein extra VLAN mit DHCP und nur Öffnung von Port 3389
Als Ausnahmen haben wir drei Windows Workstations, diese sollen auch ins I-Net können. Und bei den Windows Kisten sehe ich eine Gefahr von Einschleusung von Schadware durch I-Net oder USB Sticks.
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
LG
wir haben Thin Clients (raspberry pi) z.Z. im gleichen Netz wie die Server.
Die Clients nutzen nur Remote Desktop Services und könnten in ein extra VLAN mit DHCP und nur Öffnung von Port 3389
Als Ausnahmen haben wir drei Windows Workstations, diese sollen auch ins I-Net können. Und bei den Windows Kisten sehe ich eine Gefahr von Einschleusung von Schadware durch I-Net oder USB Sticks.
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3994080554
Url: https://administrator.de/forum/thin-clients-ins-vlan-nur-port-3389-ausnahmen-von-fat-clients-3994080554.html
Ausgedruckt am: 23.12.2024 um 17:12 Uhr
9 Kommentare
Neuester Kommentar
Gucke dir mal die letzten schwerwiegenden Probleme mit dem Protokoll an, dann überprüfe deine Ansichten/Frage noch mal.
Gucke dir mal die letzten schwerwiegenden Probleme mit dem Protokoll an
Meinst du das RDP Protokoll, das Port 3389 verwendet?Was würde das jetzt dem TO bedeuten? Das kommt doch auf das Gleiche raus, ob er das VLAN isoliert und Port 3389 durchlässt oder alles gleich im gleichen Netz lässt und Port 3389 verwendet.
Besser wäre die Aussage: Es gibt so viele andere Protokolle, die sich lohnen zu sperren.
Es geht darum, das der Gedanke ich packe Clients und Server in eine VLAN, weil ich RDP auf 3389 nicht traue in erster Linie nur eines bringt: Ein weiteres VLAN. Mit Sicherheit hat das wenig bis nichts zu tun.
Zitat von @Otto1699:
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?
Morschen.
Ja, es sollte ein VLAN geben für die Thinclients. Diese haben dann nur Zugriff via Port 3389 auf den RDS Server (oder die Farm).
Die drei speziellen Windows Clients könntest du dann entweder im selben VLAN unterbringen und dann mit Firewall Ausnahmen mehr zulassen oder in ein eigenes VLAN stecken mit eigenen Regeln.
Der Zugriff sollte auch auf der Eingangsseite, also dem RDS Server begrenzt sein. Das heißt entweder in der übergreifenden oder der lokalen Windows Firewall ein bestimmtes Subnetz oder eine bestimmte IP Range begrenzen.
Schabernack kann man immer und überall betreiben, denn man muss ja Löcher aufmachen, sonst ist kein Arbeiten möglich. Aber wenn man zumindest die Haupt-Einfallstore etwas schließt, sollte ein gutes Gefühl aufkommen.
Gruß
Marc
Hallo,
da ich kein Freund davon bin, das Rad jedesmal neu zu erfinden, nehme ich gerne die Empfehlungen des BSI/IT-Grundschutzes zur Hilfe - quasi als „best practice“.
Für deine Fragestellung kämen z.B. die Punkte
Gruß
TA
da ich kein Freund davon bin, das Rad jedesmal neu zu erfinden, nehme ich gerne die Empfehlungen des BSI/IT-Grundschutzes zur Hilfe - quasi als „best practice“.
Für deine Fragestellung kämen z.B. die Punkte
- NET.1.1.A5 Client-Server-Segmentierung (B)
- NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B)
Gruß
TA