18
Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren
Hallo zusammen,
habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports. Das habe ich gemacht und auf den ersten Blick funktioniert das auch einwandfrei.
Aber als ich aber dann den zweiten Schritt machen wollte und den Zugang über Standardport 3389 in der Firewall beim Hoster, die vor unserem Server ist, sperren wollte, ging kein Zugriff auf den Server mehr.
Ich würde aber sehr gerne den Zugang über den Standardport sperren, weil wir zumindest an einem unserer Server an manchen Tagen eine 6-stellige Anzahl an Einwahlversuchen haben.
Irgendjemand eine Idee?
habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports. Das habe ich gemacht und auf den ersten Blick funktioniert das auch einwandfrei.
Aber als ich aber dann den zweiten Schritt machen wollte und den Zugang über Standardport 3389 in der Firewall beim Hoster, die vor unserem Server ist, sperren wollte, ging kein Zugriff auf den Server mehr.
Ich würde aber sehr gerne den Zugang über den Standardport sperren, weil wir zumindest an einem unserer Server an manchen Tagen eine 6-stellige Anzahl an Einwahlversuchen haben.
Irgendjemand eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator tomolpi am 24.02.2020 um 17:48:54 Uhr
Eigenwerbung entfernt
Content-ID: 551226
Url: https://administrator.de/contentid/551226
Ausgedruckt am: 16.11.2024 um 01:11 Uhr
18 Kommentare
Neuester Kommentar
Hi
Lässt du uns daran teilhaben was genau du gemacht hast um den Port zu verändern?
Lässt du uns daran teilhaben was genau du gemacht hast um den Port zu verändern?
Hallo,
RDP komplett sperren bzw nur noch per VPN durchreichen. das ist dann wirklich sinnvoll.
Viele Grüße,
Christian
RDP komplett sperren bzw nur noch per VPN durchreichen. das ist dann wirklich sinnvoll.
Viele Grüße,
Christian
Moin,
man sollte niemals RDP im Internet anbieten. Wenn dann durch ein VPN. Alles andere ist unsicher.
Vermutlich habt ihr da ein Portforwarding gehabt, TCP3389 vom Router auf TCP3389 auf dem Server. Dann kannst den Port auf dem Server beliebig ändern, aber wenn das PFW nicht mit angepasst wird, kann es nicht funktionieren.
Grüße, Henere
man sollte niemals RDP im Internet anbieten. Wenn dann durch ein VPN. Alles andere ist unsicher.
Vermutlich habt ihr da ein Portforwarding gehabt, TCP3389 vom Router auf TCP3389 auf dem Server. Dann kannst den Port auf dem Server beliebig ändern, aber wenn das PFW nicht mit angepasst wird, kann es nicht funktionieren.
Grüße, Henere
ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports.
Das ist Schwachfug, baut euch stattdessen ein VPN und RDP dann nur über den Tunnel freigeben oder nutzt ein RDP Gateway über https.
Hi, das kann man in der Registry machen...
https://support.microsoft.com/de-de/help/306759/how-to-change-the-listen ...
https://support.microsoft.com/de-de/help/306759/how-to-change-the-listen ...
Das VPN würde ich gerne als zweiten Schritt machen.
Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
Also wenn ich auf dem Router 3389 sperre, sollte doch auch auf dem Server Port 3389 automatisch mit gesperrt sein? Und der dann offene Port XX.XXX sollte auf XX.XXX weiterleiten und mir eine Verbindung geben.
Vielleicht überlege ich da falsch? Falls ja, bitte ich um Aufklärung.
Vielleicht überlege ich da falsch? Falls ja, bitte ich um Aufklärung.
Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren. Danach würde ich gerne als nächsten Schritt es tatsächlich noch ein wenig sicherer machen und für RDP-Zugänge ein VPN einbauen.
moin...
wiso... das istr aber der erste...
Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
du hast das mit dem VPN nicht vertanden....
ich versuche es mal .... mit VPN kein Brute Force... da keine port´s offen....
Frank
wiso... das istr aber der erste...
Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
ich versuche es mal .... mit VPN kein Brute Force... da keine port´s offen....
Frank
moin...
Frank
Zitat von @kfj-de:
Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren.
dein vorhaben bringt nix.... ob du auf 3389 bist oder auf 4444, dein port ist offen, und schnell auffindbar!Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren.
Danach würde ich gerne als nächsten Schritt es tatsächlich noch ein wenig sicherer machen und für RDP-Zugänge ein VPN einbauen.
das wäre der erste schritt! mit deinem verhalten bringst du nur deine firma in gefahr!Frank
Sorry,
der Block von Port 3389 geht im zweiten Versuch wohl doch. Und ich komme über den Alternativport jetzt auch auf den Server. Hatte mich in der Config der Firewall im Router wohl vertippt.
Ich hätte das gerne im Log gegengecheckt, aber da habe ich zu meiner Verwunderung lediglich den Quellport gesehen, aber nicht den Zielport. Muss ich dafür noch etwas konfigurieren und wenn ja, was?
der Block von Port 3389 geht im zweiten Versuch wohl doch. Und ich komme über den Alternativport jetzt auch auf den Server. Hatte mich in der Config der Firewall im Router wohl vertippt.
Ich hätte das gerne im Log gegengecheckt, aber da habe ich zu meiner Verwunderung lediglich den Quellport gesehen, aber nicht den Zielport. Muss ich dafür noch etwas konfigurieren und wenn ja, was?
Da der Sinn des Servers ist, dass er im Internet erreichbar ist, wird es immer Gefahr geben.
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los. Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los. Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Zitat von @kfj-de:
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer
Natürlich, alles andere ist grob fahrlässig. Schon allein einen Windows Server nackt direkt ins Netz zu stellen grenzt schon an .... (Xxxx zensiert)Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer
, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
Ein sicheres VPN mit 2 Faktor Auth und schon macht auch das nichts mehr. Weil die Ports dann eh dicht sind.Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Schon mal was von fail2ban gehört ??Üb doch bitte erst mal die Absicherungsgrundlagen im Lab, bevor du hier live einen weiteren Zombie-Server ins Netz stellst.
1. RDP hat im Internet nichts verloren. Punkt. Ja, es ist verschlüsselt, aber das nur sehr mies.
2. Wenn du den Port verlegen willst, wieso schaltest du keine Firewall davor und machst a) eine NAT-Regel außen Port XXXXX und nach innen 3389 und b) bindest das an deine IP (sofern du eine fest IP hast). Ansonsten: Raus aus dem Internet mit RDP und mach es, wie alle vor mir schon gesagt haben, das per VPN.
2. Wenn du den Port verlegen willst, wieso schaltest du keine Firewall davor und machst a) eine NAT-Regel außen Port XXXXX und nach innen 3389 und b) bindest das an deine IP (sofern du eine fest IP hast). Ansonsten: Raus aus dem Internet mit RDP und mach es, wie alle vor mir schon gesagt haben, das per VPN.
moin...
allerdings ahne ich schon böses..... ich vermute mal, da rennt ein Exchange bzw. Mail Server.
wie weiter oben schon geschrieben, nutze erstmal fail2ban! dein port umbiegen bringt nix, mit einem port scan ist der neue port
innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
wiso machst du diesen job, von dem du wohl nichts verstehst? oder wurde euch schon etwas angeraten, war aber zu teuer?
Frank
Frank...
Da der Sinn des Servers ist, dass er im Internet erreichbar ist, wird es immer Gefahr geben.
du meinst sicher nicht den Server, sondern einen bestimmten Dienst.... denke ich... oder?allerdings ahne ich schon böses..... ich vermute mal, da rennt ein Exchange bzw. Mail Server.
wie weiter oben schon geschrieben, nutze erstmal fail2ban! dein port umbiegen bringt nix, mit einem port scan ist der neue port
innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
wiso? da wo keine ports offen sind, gibbet auch nix zu Attackieren!ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
natürlich.... such mal im Forum bei uns nach! bringt aber nicht viel mehr sicherheit!wiso machst du diesen job, von dem du wohl nichts verstehst? oder wurde euch schon etwas angeraten, war aber zu teuer?
Frank
Frank...
wie weiter oben schon geschrieben, nutze erstmal fail2ban!
Ich dachte das ist eine Windowskistedein port umbiegen bringt nix, mit einem port scan ist der neue port innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Da möchte ich mal widersprechen. Ja, ein Portscan bringt den Port hervor. Aber sowas beruhigt das Theater auf dem Port, da fast alle Scriptkiddies und Bots rausfallen. Und wenn er dann noch mit Geoblocking arbeitet, dann bleibt nicht mehr viel übrig. Von daher finde ich das Verlegen des Ports absolut nicht sinnlos.
Fail2ban oder ähnliche Programme bringen natürlich gar nichts, da ich noch nicht eine einzige Attacke gesehen habe, die tatsächlich nicht von einer
IP-Adresse aus dem Zufallsgenerator ausging. Allerdings wird schätzungsweise bei >99% aller Attacken als Username Administrator oder admin gesendet. Insofern habe ich natürlich als allererstes das Admin-Konto umbenannt. Jetzt ist es mir wohl auch noch gelungen, den RDS-Port zu blocken. Als nächstes werde ich versuchen, im Security-Log die Zielports einzublenden, weil standardmäßig da wohl nur der Quellport angezeigt wird und mich dann noch um die anderen Ports im Log kümmern will. VPN kommt als letztes, weil ich da ja auf den PCs derjenigen, die da drauf müssen, etwas ändern muss.
Ach ja: Auf dem Webserver, sollen Mail, IIS und FTPS laufen und ab und zu muss er natürlich auch per Remotedesktop administriert werden.
IP-Adresse aus dem Zufallsgenerator ausging. Allerdings wird schätzungsweise bei >99% aller Attacken als Username Administrator oder admin gesendet. Insofern habe ich natürlich als allererstes das Admin-Konto umbenannt. Jetzt ist es mir wohl auch noch gelungen, den RDS-Port zu blocken. Als nächstes werde ich versuchen, im Security-Log die Zielports einzublenden, weil standardmäßig da wohl nur der Quellport angezeigt wird und mich dann noch um die anderen Ports im Log kümmern will. VPN kommt als letztes, weil ich da ja auf den PCs derjenigen, die da drauf müssen, etwas ändern muss.
Ach ja: Auf dem Webserver, sollen Mail, IIS und FTPS laufen und ab und zu muss er natürlich auch per Remotedesktop administriert werden.
Dieser Server muss eine Menge Dienste beherbergen und ich muss deshalb auch eine Menge Ports öffnen.
Ich habe dazu keine Erfahrung, aber ich kann mir vorstellen, dass die ständigen Brute Force-Attacken auch unnötig Performance kosten und das will ich naturgemäß erst einmal in den Griff bekommen.
Ich habe dazu keine Erfahrung, aber ich kann mir vorstellen, dass die ständigen Brute Force-Attacken auch unnötig Performance kosten und das will ich naturgemäß erst einmal in den Griff bekommen.
