V-Server Windows 2016, RDP und VPN
Guten Morgen ins Forum,
bin neu hier im Forum. Beschäftige mich sonst eher mit MacOS, der Client-Seite und ein wenig Netzwerk, wollte mich jetzt aber auch mal aus der "Deckung" wagen und was neues probieren. Viele bisherige Fragen konnte ich mir anlesen - unter anderem auch hier im Forum. Jetzt habe ich allerdings ein, zwei Verständnisprobleme und hoffe, Ihr könnt mir dabei auf die Sprünge helfen:
Szenario:
V-Server, Windows 2106 Server Standard
Clients sind iOS, ggfs. Windows 10 und MacOS
Zugriff soll erfolgen auf eine dort laufende Software (Access-DB mit Interface) mittels Remote Desktop der kompletten Oberfläche – nicht nur der Software. Der V-Server/Strato hängt offenbar vogelfrei im Netz! Mir ist klar, dass es Vorbehalte dagegen gibt, Maschinen ohne getrennte HW-VPN-Applicance einzusetzen. Das lässt sich zum momentanen Stand aber erstmal nicht ändern. Ggfs. anfallende Daten auf dem Server werden lokal gebackuped und der Server im Notfall zurückgesetzt. Es hängt kein Multimillionen-Dollar-Unternehmen an dem Setup
RDP-Port modifiziert, AutoUpdate aktiviert, Usernamen mod., Standardports großteils geschlossen, Netzwerkauth. aktiviert, 128 bit erzwungen (gpedit, secpol) usw. erfolgt und funktioniert.
Frage 1: Wenn ich VPN (mit festem Schlüssel, manueller Adressvergabe) aktiviere funktioniert das zwar ... aber nur parallel. D.h. mein RDP verbindet auf dem modifizierten Port und ebenso kann ich eine VPN aufbauen und der Server hat weiterhin "Internetzugang". Wie erzwinge ich aber, dass RDP über den Tunnel läuft? Bzw. lass ich den modifizierten RDP-Port "offen"? Dann habe ich ja keine Gewinn an Sicherheit. Vermutlich muss ich das entsprechend routen oder womöglich ebenso den 443 für nutzen?! Bisher habe ich mich erstmal ... ne zweimal erfolgreich "ausgeschlossen" ... was aber bei näherer und fernerer Betrachtung irgendwie plausibel erscheint
Frage 2: Kann ich GRE/PPTP auch deaktivieren? Bisher schließe ich die zwei Ports (47/1723). Ist das "Best Practice"? Die Anmeldungen lassen sich ja nicht auf 0 reduzieren ohne eine Fehlermeldung zu erhalten.
Frage 3: Lokales privates Zertifikat ist im IIS erzeugt und für die VPN auch definiert. Soweit so gut. Nur gebe ich den doch eigentlich nicht aus?! Bzw. wie erzeuge ich einen Public-Schlüssel, den ich dann dem Client bei der VPN-Konfiguration mit auf den Weg gebe?!
Frage 4: Muss in der Firewall – mit Ausnahme der VPN-Ports – am Ende überhaupt noch etwas offen sein? So Sachen wie "Kernnetzwerk" klingen irgendwie wichtig
Soviel zum Thema Selbstoffenbarung
VG aus dem Süden der Republik.
bin neu hier im Forum. Beschäftige mich sonst eher mit MacOS, der Client-Seite und ein wenig Netzwerk, wollte mich jetzt aber auch mal aus der "Deckung" wagen und was neues probieren. Viele bisherige Fragen konnte ich mir anlesen - unter anderem auch hier im Forum. Jetzt habe ich allerdings ein, zwei Verständnisprobleme und hoffe, Ihr könnt mir dabei auf die Sprünge helfen:
Szenario:
V-Server, Windows 2106 Server Standard
Clients sind iOS, ggfs. Windows 10 und MacOS
Zugriff soll erfolgen auf eine dort laufende Software (Access-DB mit Interface) mittels Remote Desktop der kompletten Oberfläche – nicht nur der Software. Der V-Server/Strato hängt offenbar vogelfrei im Netz! Mir ist klar, dass es Vorbehalte dagegen gibt, Maschinen ohne getrennte HW-VPN-Applicance einzusetzen. Das lässt sich zum momentanen Stand aber erstmal nicht ändern. Ggfs. anfallende Daten auf dem Server werden lokal gebackuped und der Server im Notfall zurückgesetzt. Es hängt kein Multimillionen-Dollar-Unternehmen an dem Setup
RDP-Port modifiziert, AutoUpdate aktiviert, Usernamen mod., Standardports großteils geschlossen, Netzwerkauth. aktiviert, 128 bit erzwungen (gpedit, secpol) usw. erfolgt und funktioniert.
Frage 1: Wenn ich VPN (mit festem Schlüssel, manueller Adressvergabe) aktiviere funktioniert das zwar ... aber nur parallel. D.h. mein RDP verbindet auf dem modifizierten Port und ebenso kann ich eine VPN aufbauen und der Server hat weiterhin "Internetzugang". Wie erzwinge ich aber, dass RDP über den Tunnel läuft? Bzw. lass ich den modifizierten RDP-Port "offen"? Dann habe ich ja keine Gewinn an Sicherheit. Vermutlich muss ich das entsprechend routen oder womöglich ebenso den 443 für nutzen?! Bisher habe ich mich erstmal ... ne zweimal erfolgreich "ausgeschlossen" ... was aber bei näherer und fernerer Betrachtung irgendwie plausibel erscheint
Frage 2: Kann ich GRE/PPTP auch deaktivieren? Bisher schließe ich die zwei Ports (47/1723). Ist das "Best Practice"? Die Anmeldungen lassen sich ja nicht auf 0 reduzieren ohne eine Fehlermeldung zu erhalten.
Frage 3: Lokales privates Zertifikat ist im IIS erzeugt und für die VPN auch definiert. Soweit so gut. Nur gebe ich den doch eigentlich nicht aus?! Bzw. wie erzeuge ich einen Public-Schlüssel, den ich dann dem Client bei der VPN-Konfiguration mit auf den Weg gebe?!
Frage 4: Muss in der Firewall – mit Ausnahme der VPN-Ports – am Ende überhaupt noch etwas offen sein? So Sachen wie "Kernnetzwerk" klingen irgendwie wichtig
Soviel zum Thema Selbstoffenbarung
VG aus dem Süden der Republik.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 458541
Url: https://administrator.de/forum/v-server-windows-2016-rdp-und-vpn-458541.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
3 Kommentare
Neuester Kommentar
Zitat von @Visucius:
Frage 1: Wenn ich VPN (mit festem Schlüssel, manueller Adressvergabe) aktiviere funktioniert das zwar ... aber nur parallel. D.h. mein RDP verbindet auf dem modifizierten Port und ebenso kann ich eine VPN aufbauen und der Server hat weiterhin "Internetzugang". Wie erzwinge ich aber, dass RDP über den Tunnel läuft? Bzw. lass ich den modifizierten RDP-Port "offen"? Dann habe ich ja keine Gewinn an Sicherheit. Vermutlich muss ich das entsprechend routen oder womöglich ebenso den 443 für nutzen?! Bisher habe ich mich erstmal ... ne zweimal erfolgreich "ausgeschlossen" ... was aber bei näherer und fernerer Betrachtung irgendwie plausibel erscheint
Du machst dir zu allererst eine zusätzliche Firewall-Regel die den RDP-Port nur über das VPN-Interface oder das private VPN-Subnetz zulässt. Dann richtest du dein VPN ein (L2TP o. IPSec / SSTP & Co.) bloß kein PPTP mehr, das ist unsicher hoch drei und knackt dir jemand in null komma nichts. Die Ports dafür natürlich ebenfalls schließen.Frage 1: Wenn ich VPN (mit festem Schlüssel, manueller Adressvergabe) aktiviere funktioniert das zwar ... aber nur parallel. D.h. mein RDP verbindet auf dem modifizierten Port und ebenso kann ich eine VPN aufbauen und der Server hat weiterhin "Internetzugang". Wie erzwinge ich aber, dass RDP über den Tunnel läuft? Bzw. lass ich den modifizierten RDP-Port "offen"? Dann habe ich ja keine Gewinn an Sicherheit. Vermutlich muss ich das entsprechend routen oder womöglich ebenso den 443 für nutzen?! Bisher habe ich mich erstmal ... ne zweimal erfolgreich "ausgeschlossen" ... was aber bei näherer und fernerer Betrachtung irgendwie plausibel erscheint
Für L2TP o. IPSec oder IKEv2 benötigt werden Ports 4500, 1701(nur bei L2TP) und 500 UDP und ESP "Protokoll" (Nr.50). Wenn hingegenen SSTP genutzt wird wird Port 443 TCP benötigt. ALLE ANDEREN PORTS sind INBOUND zu schließen.
Achtung Reihenfolge einhalten das du dir nicht selbst die Verbindung kappst. Also die Ports erst schließen wenn die VPN Verbindung wasserdicht funktioniert und RDP über die VPN-Verbindung und de zusätzliche Regel funktioniert. Erst dann die RDP Regel die für extern gilt deaktivieren.
Als Backup habe ich für sowas immer einen SSH-Server in der Hinterhand, dann komme ich auch so noch an die Konsole, sollte ich mir selbst die Verbindung gekappt haben. Oder man nutzt die Rettungskonsole wenn es der Anbieter anbietet.
Frage 2: Kann ich GRE/PPTP auch deaktivieren? Bisher schließe ich die zwei Ports (47/1723). Ist das "Best Practice"? Die Anmeldungen lassen sich ja nicht auf 0 reduzieren ohne eine Fehlermeldung zu erhalten.
Sicher wenn kein PPTP genutzt wird was man heutzutage nicht mehr sollte, dicht machen!!Frage 3: Lokales privates Zertifikat ist im IIS erzeugt und für die VPN auch definiert. Soweit so gut. Nur gebe ich den doch eigentlich nicht aus?! Bzw. wie erzeuge ich einen Public-Schlüssel, den ich dann dem Client bei der VPN-Konfiguration mit auf den Weg gebe?!
Ein Zertifikat brauchst du nur wenn du SSTP nutzt oder IPSec durch eine Zertifikatsauthentifizierung absicherst bzw. IKEv2 nutzt. Dazu erstellt man am sich am besten eine kleine CA z.B. auch mit XCA und stellt damit die Zertifikate aus.
Frage 4: Muss in der Firewall – mit Ausnahme der VPN-Ports – am Ende überhaupt noch etwas offen sein? So Sachen wie "Kernnetzwerk" klingen irgendwie wichtig
Damit RDP trotzdem über die VPN Verbindung funktioniert erstellst du ja wie ich dir oben schon geschrieben habe eine Firewall-Regel die den Port nur über ein bestimmtes Subnetz oder einen bestimmten Adapter zulässt.
RDP sollte man niemals offen im Netz verfügbar machen, was man gerade wieder durch die aufgetauchte Lücke sieht.
Wenn ich dir das Grundrauschen im Netz mal zeigen würde würdest du mit den Ohren schlacken wieviele Scans nach RDP stattfinden, auch auf unbekannten Highports finden diese statt d.h. mit dem Verschieben auf einen Highport hat man nur eine trügerische Sicherheit! Also immer schön nur übers VPN zulassen.