Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren
Hallo zusammen,
habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports. Das habe ich gemacht und auf den ersten Blick funktioniert das auch einwandfrei.
Aber als ich aber dann den zweiten Schritt machen wollte und den Zugang über Standardport 3389 in der Firewall beim Hoster, die vor unserem Server ist, sperren wollte, ging kein Zugriff auf den Server mehr.
Ich würde aber sehr gerne den Zugang über den Standardport sperren, weil wir zumindest an einem unserer Server an manchen Tagen eine 6-stellige Anzahl an Einwahlversuchen haben.
Irgendjemand eine Idee?
habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports. Das habe ich gemacht und auf den ersten Blick funktioniert das auch einwandfrei.
Aber als ich aber dann den zweiten Schritt machen wollte und den Zugang über Standardport 3389 in der Firewall beim Hoster, die vor unserem Server ist, sperren wollte, ging kein Zugriff auf den Server mehr.
Ich würde aber sehr gerne den Zugang über den Standardport sperren, weil wir zumindest an einem unserer Server an manchen Tagen eine 6-stellige Anzahl an Einwahlversuchen haben.
Irgendjemand eine Idee?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator tomolpi am 24.02.2020 um 17:48:54 Uhr
Eigenwerbung entfernt
Content-ID: 551226
Url: https://administrator.de/forum/windows-server-2019-rdp-auf-anderen-port-umlegen-scheint-zumindest-in-der-firewall-nicht-zu-funktionieren-551226.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
18 Kommentare
Neuester Kommentar
Moin,
man sollte niemals RDP im Internet anbieten. Wenn dann durch ein VPN. Alles andere ist unsicher.
Vermutlich habt ihr da ein Portforwarding gehabt, TCP3389 vom Router auf TCP3389 auf dem Server. Dann kannst den Port auf dem Server beliebig ändern, aber wenn das PFW nicht mit angepasst wird, kann es nicht funktionieren.
Grüße, Henere
man sollte niemals RDP im Internet anbieten. Wenn dann durch ein VPN. Alles andere ist unsicher.
Vermutlich habt ihr da ein Portforwarding gehabt, TCP3389 vom Router auf TCP3389 auf dem Server. Dann kannst den Port auf dem Server beliebig ändern, aber wenn das PFW nicht mit angepasst wird, kann es nicht funktionieren.
Grüße, Henere
ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der hinteren Ports.
Das ist Schwachfug, baut euch stattdessen ein VPN und RDP dann nur über den Tunnel freigeben oder nutzt ein RDP Gateway über https.
moin...
wiso... das istr aber der erste...
Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
du hast das mit dem VPN nicht vertanden....
ich versuche es mal .... mit VPN kein Brute Force... da keine port´s offen....
Frank
wiso... das istr aber der erste...
Erst einmal möchte ich die Brute Force Attacken gerne ins Leere umleiten
ich versuche es mal .... mit VPN kein Brute Force... da keine port´s offen....
Frank
moin...
Frank
Zitat von @kfj-de:
Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren.
dein vorhaben bringt nix.... ob du auf 3389 bist oder auf 4444, dein port ist offen, und schnell auffindbar!Sorry, aber ich möchte gerne erst einmal den Zugang für alle auf 3389 blocken, ohne uns selbst auszusperren.
Danach würde ich gerne als nächsten Schritt es tatsächlich noch ein wenig sicherer machen und für RDP-Zugänge ein VPN einbauen.
das wäre der erste schritt! mit deinem verhalten bringst du nur deine firma in gefahr!Frank
Zitat von @kfj-de:
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer
Natürlich, alles andere ist grob fahrlässig. Schon allein einen Windows Server nackt direkt ins Netz zu stellen grenzt schon an .... (Xxxx zensiert)Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer
, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
Ein sicheres VPN mit 2 Faktor Auth und schon macht auch das nichts mehr. Weil die Ports dann eh dicht sind.Und deshalb würde ich das gerne zuerst angehen. Ich habe es noch nicht versucht, aber ich denke, ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
Schon mal was von fail2ban gehört ??Üb doch bitte erst mal die Absicherungsgrundlagen im Lab, bevor du hier live einen weiteren Zombie-Server ins Netz stellst.
1. RDP hat im Internet nichts verloren. Punkt. Ja, es ist verschlüsselt, aber das nur sehr mies.
2. Wenn du den Port verlegen willst, wieso schaltest du keine Firewall davor und machst a) eine NAT-Regel außen Port XXXXX und nach innen 3389 und b) bindest das an deine IP (sofern du eine fest IP hast). Ansonsten: Raus aus dem Internet mit RDP und mach es, wie alle vor mir schon gesagt haben, das per VPN.
2. Wenn du den Port verlegen willst, wieso schaltest du keine Firewall davor und machst a) eine NAT-Regel außen Port XXXXX und nach innen 3389 und b) bindest das an deine IP (sofern du eine fest IP hast). Ansonsten: Raus aus dem Internet mit RDP und mach es, wie alle vor mir schon gesagt haben, das per VPN.
moin...
allerdings ahne ich schon böses..... ich vermute mal, da rennt ein Exchange bzw. Mail Server.
wie weiter oben schon geschrieben, nutze erstmal fail2ban! dein port umbiegen bringt nix, mit einem port scan ist der neue port
innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
wiso machst du diesen job, von dem du wohl nichts verstehst? oder wurde euch schon etwas angeraten, war aber zu teuer?
Frank
Frank...
Da der Sinn des Servers ist, dass er im Internet erreichbar ist, wird es immer Gefahr geben.
du meinst sicher nicht den Server, sondern einen bestimmten Dienst.... denke ich... oder?allerdings ahne ich schon böses..... ich vermute mal, da rennt ein Exchange bzw. Mail Server.
wie weiter oben schon geschrieben, nutze erstmal fail2ban! dein port umbiegen bringt nix, mit einem port scan ist der neue port
innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Ein VPN als Voraussetzung für die Einwahl macht die Remotedesktopverbindung wahrscheinlich schon sicherer, allerdings werde ich dadurch die Bruteforce-Attacken nicht los.
wiso? da wo keine ports offen sind, gibbet auch nix zu Attackieren!ich kann für RDP-Verbindungen auch eine bestimmte IP-Range voraussetzen, oder?
natürlich.... such mal im Forum bei uns nach! bringt aber nicht viel mehr sicherheit!wiso machst du diesen job, von dem du wohl nichts verstehst? oder wurde euch schon etwas angeraten, war aber zu teuer?
Frank
Frank...
wie weiter oben schon geschrieben, nutze erstmal fail2ban!
Ich dachte das ist eine Windowskistedein port umbiegen bringt nix, mit einem port scan ist der neue port innerhalb sekunden gefunden und angegriffen! also mach dir da keine falschen hoffnungen!
Da möchte ich mal widersprechen. Ja, ein Portscan bringt den Port hervor. Aber sowas beruhigt das Theater auf dem Port, da fast alle Scriptkiddies und Bots rausfallen. Und wenn er dann noch mit Geoblocking arbeitet, dann bleibt nicht mehr viel übrig. Von daher finde ich das Verlegen des Ports absolut nicht sinnlos.