kfj-de
Goto Top

Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren

Hallo zusammen,

habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports. Das habe ich gemacht und auf den ersten Blick funktioniert das auch einwandfrei.

Aber als ich aber dann den zweiten Schritt machen wollte und den Zugang über Standardport 3389 in der Firewall beim Hoster, die vor unserem Server ist, sperren wollte, ging kein Zugriff auf den Server mehr.

Ich würde aber sehr gerne den Zugang über den Standardport sperren, weil wir zumindest an einem unserer Server an manchen Tagen eine 6-stellige Anzahl an Einwahlversuchen haben.

Irgendjemand eine Idee?
Kommentar vom Moderator tomolpi am 24.02.2020 um 17:48:54 Uhr
Eigenwerbung entfernt

Content-Key: 551226

Url: https://administrator.de/contentid/551226

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: SeaStorm
SeaStorm 23.02.2020 um 16:47:23 Uhr
Goto Top
Hi

Lässt du uns daran teilhaben was genau du gemacht hast um den Port zu verändern?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.02.2020 aktualisiert um 19:34:29 Uhr
Goto Top
Hallo,

RDP komplett sperren bzw nur noch per VPN durchreichen. das ist dann wirklich sinnvoll.

Viele Grüße,

Christian
Mitglied: Henere
Henere 23.02.2020 aktualisiert um 16:55:37 Uhr
Goto Top
Moin,

man sollte niemals RDP im Internet anbieten. Wenn dann durch ein VPN. Alles andere ist unsicher.

Vermutlich habt ihr da ein Portforwarding gehabt, TCP3389 vom Router auf TCP3389 auf dem Server. Dann kannst den Port auf dem Server beliebig ändern, aber wenn das PFW nicht mit angepasst wird, kann es nicht funktionieren.

Grüße, Henere
Mitglied: 143127
143127 23.02.2020 aktualisiert um 16:59:08 Uhr
Goto Top
ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports.
Das ist Schwachfug, baut euch stattdessen ein VPN und RDP dann nur über den Tunnel freigeben oder nutzt ein RDP Gateway über https.
Mitglied: kfj-de
kfj-de 23.02.2020 um 17:41:15 Uhr
Goto Top
Mitglied: kfj-de
kfj-de 23.02.2020 um 17:42:54 Uhr
Goto Top
Das VPN würde ich gerne als zweiten Schritt machen.

Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
Mitglied: kfj-de
kfj-de 23.02.2020 um 17:46:38 Uhr
Goto Top
Also wenn ich auf dem Router 3389 sperre, sollte doch auch auf dem Server Port 3389 automatisch mit gesperrt sein? Und der dann offene Port XX.XXX sollte auf XX.XXX weiterleiten und mir eine Verbindung geben.


Vielleicht überlege ich da falsch? Falls ja, bitte ich um Aufklärung.
Mitglied: kfj-de
kfj-de 23.02.2020 um 17:52:46 Uhr
Goto Top
Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren. Danach würde ich gerne als nächsten Schritt es tatsächlich noch ein wenig sicherer machen und für RDP-Zugänge ein VPN einbauen.
Mitglied: Vision2015
Vision2015 23.02.2020 um 18:03:59 Uhr
Goto Top
moin...
Zitat von @kfj-de:

Das VPN würde ich gerne als zweiten Schritt machen.
wiso... das istr aber der erste...

Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
du hast das mit dem VPN nicht vertanden....
ich versuche es mal .... mit VPN kein Brute Force... da keine port´s offen....

Frank
Mitglied: Vision2015
Vision2015 23.02.2020 aktualisiert um 18:11:05 Uhr
Goto Top
moin...
Zitat von @kfj-de:

Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren.
dein vorhaben bringt nix.... ob du auf 3389 bist oder auf 4444, dein port ist offen, und schnell auffindbar!
Danach würde ich gerne als nächsten Schritt es tatsächlich noch ein wenig sicherer machen und für RDP-Zugänge ein VPN einbauen.
das wäre der erste schritt! mit deinem verhalten bringst du nur deine firma in gefahr!

Frank
Mitglied: kfj-de
kfj-de 23.02.2020 um 18:08:43 Uhr
Goto Top
Sorry,

der Block von Port 3389 geht im zweiten Versuch wohl doch. Und ich komme über den Alternativport jetzt auch auf den Server. Hatte mich in der Config der Firewall im Router wohl vertippt.

Ich hätte das gerne im Log gegengecheckt, aber da habe ich zu meiner Verwunderung lediglich den Quellport gesehen, aber nicht den Zielport. Muss ich dafür noch etwas konfigurieren und wenn ja, was?
Mitglied: kfj-de
kfj-de 23.02.2020 um 18:20:47 Uhr
Goto Top
Da der Sinn des Servers ist, dass er im Internet erreichbar ist, wird es immer Gefahr geben.

Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los. Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Mitglied: 143127
143127 23.02.2020 aktualisiert um 18:52:58 Uhr
Goto Top
Zitat von @kfj-de:
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer
Natürlich, alles andere ist grob fahrlässig. Schon allein einen Windows Server nackt direkt ins Netz zu stellen grenzt schon an .... (Xxxx zensiert)
, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
Ein sicheres VPN mit 2 Faktor Auth und schon macht auch das nichts mehr. Weil die Ports dann eh dicht sind.
Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Schon mal was von fail2ban gehört ??

Üb doch bitte erst mal die Absicherungsgrundlagen im Lab, bevor du hier live einen weiteren Zombie-Server ins Netz stellst.
Mitglied: it-fraggle
it-fraggle 23.02.2020 um 19:53:17 Uhr
Goto Top
1. RDP hat im Internet nichts verloren. Punkt. Ja, es ist verschlüsselt, aber das nur sehr mies.
2. Wenn du den Port verlegen willst, wieso schaltest du keine Firewall davor und machst a) eine NAT-Regel außen Port XXXXX und nach innen 3389 und b) bindest das an deine IP (sofern du eine fest IP hast). Ansonsten: Raus aus dem Internet mit RDP und mach es, wie alle vor mir schon gesagt haben, das per VPN.
Mitglied: Vision2015
Vision2015 24.02.2020 um 06:46:32 Uhr
Goto Top
moin...
Da der Sinn des Servers ist, dass er im Internet erreichbar ist, wird es immer Gefahr geben.
du meinst sicher nicht den Server, sondern einen bestimmten Dienst.... denke ich... oder?

allerdings ahne ich schon böses..... ich vermute mal, da rennt ein Exchange bzw. Mail Server.
wie weiter oben schon geschrieben, nutze erstmal fail2ban! dein port umbiegen bringt nix, mit einem port scan ist der neue port
innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
wiso? da wo keine ports offen sind, gibbet auch nix zu Attackieren!
ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
natürlich.... such mal im Forum bei uns nach! bringt aber nicht viel mehr sicherheit!
wiso machst du diesen job, von dem du wohl nichts verstehst? oder wurde euch schon etwas angeraten, war aber zu teuer?

Frank


Frank...
Mitglied: it-fraggle
it-fraggle 24.02.2020 um 09:13:06 Uhr
Goto Top
wie weiter oben schon geschrieben, nutze erstmal fail2ban!
Ich dachte das ist eine Windowskiste

dein port umbiegen bringt nix, mit einem port scan ist der neue port innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Da möchte ich mal widersprechen. Ja, ein Portscan bringt den Port hervor. Aber sowas beruhigt das Theater auf dem Port, da fast alle Scriptkiddies und Bots rausfallen. Und wenn er dann noch mit Geoblocking arbeitet, dann bleibt nicht mehr viel übrig. Von daher finde ich das Verlegen des Ports absolut nicht sinnlos.
Mitglied: kfj-de
kfj-de 24.02.2020 um 11:26:30 Uhr
Goto Top
Fail2ban oder ähnliche Programme bringen natürlich gar nichts, da ich noch nicht eine einzige Attacke gesehen habe, die tatsächlich nicht von einer
IP-Adresse aus dem Zufallsgenerator ausging. Allerdings wird schätzungsweise bei >99% aller Attacken als Username Administrator oder admin gesendet. Insofern habe ich natürlich als allererstes das Admin-Konto umbenannt. Jetzt ist es mir wohl auch noch gelungen, den RDS-Port zu blocken. Als nächstes werde ich versuchen, im Security-Log die Zielports einzublenden, weil standardmäßig da wohl nur der Quellport angezeigt wird und mich dann noch um die anderen Ports im Log kümmern will. VPN kommt als letztes, weil ich da ja auf den PCs derjenigen, die da drauf müssen, etwas ändern muss.

Ach ja: Auf dem Webserver, sollen Mail, IIS und FTPS laufen und ab und zu muss er natürlich auch per Remotedesktop administriert werden.
Mitglied: kfj-de
kfj-de 24.02.2020 um 11:34:58 Uhr
Goto Top
Dieser Server muss eine Menge Dienste beherbergen und ich muss deshalb auch eine Menge Ports öffnen.
Ich habe dazu keine Erfahrung, aber ich kann mir vorstellen, dass die ständigen Brute Force-Attacken auch unnötig Performance kosten und das will ich naturgemäß erst einmal in den Griff bekommen.