otto1699
Goto Top

Thin Clients ins VLAN nur Port 3389 - Ausnahmen von Fat Clients

Moin,

wir haben Thin Clients (raspberry pi) z.Z. im gleichen Netz wie die Server.
Die Clients nutzen nur Remote Desktop Services und könnten in ein extra VLAN mit DHCP und nur Öffnung von Port 3389

Als Ausnahmen haben wir drei Windows Workstations, diese sollen auch ins I-Net können. Und bei den Windows Kisten sehe ich eine Gefahr von Einschleusung von Schadware durch I-Net oder USB Sticks.

Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?


LG

Content-ID: 3994080554

Url: https://administrator.de/forum/thin-clients-ins-vlan-nur-port-3389-ausnahmen-von-fat-clients-3994080554.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

NordicMike
NordicMike 20.09.2022 um 07:49:57 Uhr
Goto Top
Befinden sich die 3 Windows Kisten im selben VLAN wie die Thin Clients?
Otto1699
Otto1699 20.09.2022 um 07:56:35 Uhr
Goto Top
Zur Zeit ist alles im gleichen Netz, Server sowie Clients.

Well erst VLAN einrichten
Tezzla
Tezzla 20.09.2022 um 08:40:57 Uhr
Goto Top
Moin,

ich würde es separieren. Ist deutlich verständlicher und einfacher vom Firewall Regelwerk. Auch wenn mal ein Client dazu kommt oder wegfällt. Dann hast du die Regeln pro Interface und nicht irgendwie auf Basis von Leases oder Reservierungen.

VG
2423392070
2423392070 20.09.2022 um 08:58:20 Uhr
Goto Top
Gucke dir mal die letzten schwerwiegenden Probleme mit dem Protokoll an, dann überprüfe deine Ansichten/Frage noch mal.
NordicMike
NordicMike 20.09.2022 um 09:08:08 Uhr
Goto Top
Gucke dir mal die letzten schwerwiegenden Probleme mit dem Protokoll an
Meinst du das RDP Protokoll, das Port 3389 verwendet?

Was würde das jetzt dem TO bedeuten? Das kommt doch auf das Gleiche raus, ob er das VLAN isoliert und Port 3389 durchlässt oder alles gleich im gleichen Netz lässt und Port 3389 verwendet.

Besser wäre die Aussage: Es gibt so viele andere Protokolle, die sich lohnen zu sperren.
2423392070
2423392070 20.09.2022 um 09:10:04 Uhr
Goto Top
Es geht darum, das der Gedanke ich packe Clients und Server in eine VLAN, weil ich RDP auf 3389 nicht traue in erster Linie nur eines bringt: Ein weiteres VLAN. Mit Sicherheit hat das wenig bis nichts zu tun.
Otto1699
Otto1699 20.09.2022 um 10:13:49 Uhr
Goto Top
Mir geht es mehr um die Clients. Die müssen ja nur RDP können.
Und die User sollen damit nix anders machen können
radiogugu
radiogugu 20.09.2022 um 10:41:23 Uhr
Goto Top
Zitat von @Otto1699:
Würde Ihr alle Clients in ein VLAN stecken und nur Port 3389 zu Server LAN öffnen?
Oder wie würdet Ihr das Netzwerk absichern?

Morschen.

Ja, es sollte ein VLAN geben für die Thinclients. Diese haben dann nur Zugriff via Port 3389 auf den RDS Server (oder die Farm).

Die drei speziellen Windows Clients könntest du dann entweder im selben VLAN unterbringen und dann mit Firewall Ausnahmen mehr zulassen oder in ein eigenes VLAN stecken mit eigenen Regeln.

Der Zugriff sollte auch auf der Eingangsseite, also dem RDS Server begrenzt sein. Das heißt entweder in der übergreifenden oder der lokalen Windows Firewall ein bestimmtes Subnetz oder eine bestimmte IP Range begrenzen.

Schabernack kann man immer und überall betreiben, denn man muss ja Löcher aufmachen, sonst ist kein Arbeiten möglich. Aber wenn man zumindest die Haupt-Einfallstore etwas schließt, sollte ein gutes Gefühl aufkommen.

Gruß
Marc
TwistedAir
TwistedAir 21.09.2022 um 16:41:25 Uhr
Goto Top
Hallo,

da ich kein Freund davon bin, das Rad jedesmal neu zu erfinden, nehme ich gerne die Empfehlungen des BSI/IT-Grundschutzes zur Hilfe - quasi als „best practice“.

Für deine Fragestellung kämen z.B. die Punkte
  • NET.1.1.A5 Client-Server-Segmentierung (B)
  • NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B)
des Bausteins NET.1.1 Netzarchitektur und - design in Frage.

Gruß
TA