Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator tomolpi am 24.02.2020 um 17:48:54 Uhr
Eigenwerbung entfernt

gelöst Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren

Mitglied: kfj-de

kfj-de (Level 1) - Jetzt verbinden

23.02.2020, aktualisiert 24.02.2020, 668 Aufrufe, 18 Kommentare

Hallo zusammen,

habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports. Das habe ich gemacht und auf den ersten Blick funktioniert das auch einwandfrei.

Aber als ich aber dann den zweiten Schritt machen wollte und den Zugang über Standardport 3389 in der Firewall beim Hoster, die vor unserem Server ist, sperren wollte, ging kein Zugriff auf den Server mehr.

Ich würde aber sehr gerne den Zugang über den Standardport sperren, weil wir zumindest an einem unserer Server an manchen Tagen eine 6-stellige Anzahl an Einwahlversuchen haben.

Irgendjemand eine Idee?
Mitglied: SeaStorm
23.02.2020 um 16:47 Uhr
Hi

Lässt du uns daran teilhaben was genau du gemacht hast um den Port zu verändern?
Bitte warten ..
Mitglied: certifiedit.net
23.02.2020, aktualisiert um 19:34 Uhr
Hallo,

RDP komplett sperren bzw nur noch per VPN durchreichen. das ist dann wirklich sinnvoll.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: Henere
23.02.2020, aktualisiert um 16:55 Uhr
Moin,

man sollte niemals RDP im Internet anbieten. Wenn dann durch ein VPN. Alles andere ist unsicher.

Vermutlich habt ihr da ein Portforwarding gehabt, TCP3389 vom Router auf TCP3389 auf dem Server. Dann kannst den Port auf dem Server beliebig ändern, aber wenn das PFW nicht mit angepasst wird, kann es nicht funktionieren.

Grüße, Henere
Bitte warten ..
Mitglied: 143127
23.02.2020, aktualisiert um 16:59 Uhr
ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports.
Das ist Schwachfug, baut euch stattdessen ein VPN und RDP dann nur über den Tunnel freigeben oder nutzt ein RDP Gateway über https.
Bitte warten ..
Mitglied: kfj-de
23.02.2020 um 17:42 Uhr
Das VPN würde ich gerne als zweiten Schritt machen.

Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
Bitte warten ..
Mitglied: kfj-de
23.02.2020 um 17:46 Uhr
Also wenn ich auf dem Router 3389 sperre, sollte doch auch auf dem Server Port 3389 automatisch mit gesperrt sein? Und der dann offene Port XX.XXX sollte auf XX.XXX weiterleiten und mir eine Verbindung geben.


Vielleicht überlege ich da falsch? Falls ja, bitte ich um Aufklärung.
Bitte warten ..
Mitglied: kfj-de
23.02.2020 um 17:52 Uhr
Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren. Danach würde ich gerne als nächsten Schritt es tatsächlich noch ein wenig sicherer machen und für RDP-Zugänge ein VPN einbauen.
Bitte warten ..
Mitglied: Vision2015
23.02.2020 um 18:03 Uhr
moin...
Zitat von kfj-de:

Das VPN würde ich gerne als zweiten Schritt machen.
wiso... das istr aber der erste...

Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
du hast das mit dem VPN nicht vertanden....
ich versuche es mal .... mit VPN kein Brute Force... da keine port´s offen....

Frank
Bitte warten ..
Mitglied: Vision2015
23.02.2020, aktualisiert um 18:11 Uhr
moin...
Zitat von kfj-de:

Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren.
dein vorhaben bringt nix.... ob du auf 3389 bist oder auf 4444, dein port ist offen, und schnell auffindbar!
Danach würde ich gerne als nächsten Schritt es tatsächlich noch ein wenig sicherer machen und für RDP-Zugänge ein VPN einbauen.
das wäre der erste schritt! mit deinem verhalten bringst du nur deine firma in gefahr!

Frank
Bitte warten ..
Mitglied: kfj-de
23.02.2020 um 18:08 Uhr
Sorry,

der Block von Port 3389 geht im zweiten Versuch wohl doch. Und ich komme über den Alternativport jetzt auch auf den Server. Hatte mich in der Config der Firewall im Router wohl vertippt.

Ich hätte das gerne im Log gegengecheckt, aber da habe ich zu meiner Verwunderung lediglich den Quellport gesehen, aber nicht den Zielport. Muss ich dafür noch etwas konfigurieren und wenn ja, was?
Bitte warten ..
Mitglied: kfj-de
23.02.2020 um 18:20 Uhr
Da der Sinn des Servers ist, dass er im Internet erreichbar ist, wird es immer Gefahr geben.

Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los. Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Bitte warten ..
Mitglied: 143127
23.02.2020, aktualisiert um 18:52 Uhr
Zitat von kfj-de:
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer
Natürlich, alles andere ist grob fahrlässig. Schon allein einen Windows Server nackt direkt ins Netz zu stellen grenzt schon an .... (Xxxx zensiert)
, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
Ein sicheres VPN mit 2 Faktor Auth und schon macht auch das nichts mehr. Weil die Ports dann eh dicht sind.
Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Schon mal was von fail2ban gehört ??

Üb doch bitte erst mal die Absicherungsgrundlagen im Lab, bevor du hier live einen weiteren Zombie-Server ins Netz stellst.
Bitte warten ..
Mitglied: it-fraggle
23.02.2020 um 19:53 Uhr
1. RDP hat im Internet nichts verloren. Punkt. Ja, es ist verschlüsselt, aber das nur sehr mies.
2. Wenn du den Port verlegen willst, wieso schaltest du keine Firewall davor und machst a) eine NAT-Regel außen Port XXXXX und nach innen 3389 und b) bindest das an deine IP (sofern du eine fest IP hast). Ansonsten: Raus aus dem Internet mit RDP und mach es, wie alle vor mir schon gesagt haben, das per VPN.
Bitte warten ..
Mitglied: Vision2015
24.02.2020 um 06:46 Uhr
moin...
Da der Sinn des Servers ist, dass er im Internet erreichbar ist, wird es immer Gefahr geben.
du meinst sicher nicht den Server, sondern einen bestimmten Dienst.... denke ich... oder?

allerdings ahne ich schon böses..... ich vermute mal, da rennt ein Exchange bzw. Mail Server.
wie weiter oben schon geschrieben, nutze erstmal fail2ban! dein port umbiegen bringt nix, mit einem port scan ist der neue port
innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
wiso? da wo keine ports offen sind, gibbet auch nix zu Attackieren!
ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
natürlich.... such mal im Forum bei uns nach! bringt aber nicht viel mehr sicherheit!
wiso machst du diesen job, von dem du wohl nichts verstehst? oder wurde euch schon etwas angeraten, war aber zu teuer?

Frank


Frank...
Bitte warten ..
Mitglied: it-fraggle
24.02.2020 um 09:13 Uhr
wie weiter oben schon geschrieben, nutze erstmal fail2ban!
Ich dachte das ist eine Windowskiste

dein port umbiegen bringt nix, mit einem port scan ist der neue port innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Da möchte ich mal widersprechen. Ja, ein Portscan bringt den Port hervor. Aber sowas beruhigt das Theater auf dem Port, da fast alle Scriptkiddies und Bots rausfallen. Und wenn er dann noch mit Geoblocking arbeitet, dann bleibt nicht mehr viel übrig. Von daher finde ich das Verlegen des Ports absolut nicht sinnlos.
Bitte warten ..
Mitglied: kfj-de
24.02.2020 um 11:26 Uhr
Fail2ban oder ähnliche Programme bringen natürlich gar nichts, da ich noch nicht eine einzige Attacke gesehen habe, die tatsächlich nicht von einer
IP-Adresse aus dem Zufallsgenerator ausging. Allerdings wird schätzungsweise bei >99% aller Attacken als Username Administrator oder admin gesendet. Insofern habe ich natürlich als allererstes das Admin-Konto umbenannt. Jetzt ist es mir wohl auch noch gelungen, den RDS-Port zu blocken. Als nächstes werde ich versuchen, im Security-Log die Zielports einzublenden, weil standardmäßig da wohl nur der Quellport angezeigt wird und mich dann noch um die anderen Ports im Log kümmern will. VPN kommt als letztes, weil ich da ja auf den PCs derjenigen, die da drauf müssen, etwas ändern muss.

Ach ja: Auf dem Webserver, sollen Mail, IIS und FTPS laufen und ab und zu muss er natürlich auch per Remotedesktop administriert werden.
Bitte warten ..
Mitglied: kfj-de
24.02.2020 um 11:34 Uhr
Dieser Server muss eine Menge Dienste beherbergen und ich muss deshalb auch eine Menge Ports öffnen.
Ich habe dazu keine Erfahrung, aber ich kann mir vorstellen, dass die ständigen Brute Force-Attacken auch unnötig Performance kosten und das will ich naturgemäß erst einmal in den Griff bekommen.
Bitte warten ..
Ähnliche Inhalte
Windows 7

Windows 7 RDP-Port wird nicht abgehört

Frage von cramtroniWindows 78 Kommentare

Guten Morgen zusammen, ich habe ein Problem in unserer Domäne. Ich kann mich auf jeden Rechner per Remotedesktopverbindung schalten, ...

Netzwerkmanagement

802.1x am Router Firewall Port

Frage von UnbekannterNR1Netzwerkmanagement2 Kommentare

Hallo, Für eine Szenario Außenstandort wäre das Setup ja klassisch "Firewall/Router -> Kabel -> Switch". Am Switch ist 802.1x ...

Windows Server

Windows Server 2019 mit Exchange 2019

Frage von netshapeWindows Server2 Kommentare

Hallo, Bin gerade dabei unsere Server neu einzurichten und die Frage Windows Server 2019 mit Exchange 2019 oder Windows ...

Microsoft Office

USB Port durch Office 2019 Update gesperrt

gelöst Frage von StevevomKundensupportMicrosoft Office1 Kommentar

Hallo Sysadmin, Gestern haben wir angefangen Office 2013 nach Office 2019 zu updaten (keine Vorwürfe ich weis wir hängen ...

Neue Wissensbeiträge
Microsoft

Support of DANE and DNSSEC in Office 365 Exchange Online

Information von Dani vor 4 StundenMicrosoft

Guten Abend zusammen, Microsoft is committed to providing world-class email security solutions and the support for the latest Internet ...

Off Topic

5G und Corona - schwachsinnige Verschwörungstheroretiker

Information von brammer vor 15 StundenOff Topic6 Kommentare

Hallo, das man Verschwörungstheoretikern nicht mit Logik und stichhaltigen Argumenten beikomme kann ist ja leider ein weit verbreitetes Phänomen. ...

Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 2 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 3 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Heiß diskutierte Inhalte
Schulung & Training
IT-Bedarf ermitteln
Frage von malikaSchulung & Training17 Kommentare

Hallo zusammen, ich würde gerne Eure Kritik oder Ratschläge zum Ermitteln des IT-Bedarfs für ein Steuerbüro (2 Steuerberater, 1 ...

Netzwerke
Frage zu VoIP-VLAN und
Frage von darkness08Netzwerke11 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route. Dazu ...

Windows Server
RDS CAL Device CAL vs User CAL
gelöst Frage von ImmenburgWindows Server10 Kommentare

Hallo zusammen, wir wollen einen neuen Windows Terminalserver aufsetzen (lassen) und stellen uns nun die Frage, welche RDS Cals ...

Windows Server
SBS2003 Migrieren auf MS W2K16 DC - ohne SBS nicht lauffähig!
Frage von kaineanungWindows Server9 Kommentare

Hallo Leute, ich habe da mal wieder ein Problem: Ich habe die Aufgabe bekommen von unserem kleinen Tochterunternehmen die ...