RDP mit SSL absichern
Um externen Benutzern einen sicheren und komfortablen Zugriff auf Firmen Intranet Ressourcen zu ermöglichen, gibt es viele Möglichkeiten.
Die "gängige" Variante wäre VPN. Dabei wird eine VPN Client Software auf dem Remote PC installiert, und als Tunnelendpunkt dient in aller Regel ein VPN Server.
Für kleinere Firmen habe ich bereits im Rahmen eines Tutorials die Möglichkeit erörtert, RDP in SSH zu tunneln. Das beliebte RDP Protokoll, das jeder XP Client vorneweg unterstützt, ist recht performant und ermöglicht die Verbindung auf einen Desktop-PC, der sich im Intranet der Firma befindet. Die Einkapselung in SSH sichert die RDP Verbindung ab, um Schwächen des RDP Protokolls auszugleichen.
Eine weitere Variante, um die es in diesem Tutorial geht, wäre die Einkapselung von RDP in SSL.
Das ganze geht so vonstatten, dass im Firmen-Intranet ein (oft ohnehin vorhandener) Server 2003 bereitsteht, auf dem Termnalservices aktiviert sind. Die Verwendung von SSL (bzw TLS) hat den Vorteil, dass bei dieser Variante sich der Server auch beim Client authentieren muss, was bei RDP normalerweise nicht der Fall ist, und Man-in-the-Middle-Attacken möglich macht.
Ferner wird die relativ schwache Verschlüsselung die RDP benutzt durch die starke TLS Verschlüsselung ausgeglichen.
Wie man das ganze konfiguriert würde ich euch gerne anhand einer schönen Anleitung illustrieren - doch leider hat mir jemand diese Arbeit bereits abgenommen, daher bin ich so frei und verweise auf folgende deutschsprachige Anleitung.
http://www.gwdg.de/GWDG-Nachrichten/GN0507/gn0507_03.html
Die "gängige" Variante wäre VPN. Dabei wird eine VPN Client Software auf dem Remote PC installiert, und als Tunnelendpunkt dient in aller Regel ein VPN Server.
Für kleinere Firmen habe ich bereits im Rahmen eines Tutorials die Möglichkeit erörtert, RDP in SSH zu tunneln. Das beliebte RDP Protokoll, das jeder XP Client vorneweg unterstützt, ist recht performant und ermöglicht die Verbindung auf einen Desktop-PC, der sich im Intranet der Firma befindet. Die Einkapselung in SSH sichert die RDP Verbindung ab, um Schwächen des RDP Protokolls auszugleichen.
Eine weitere Variante, um die es in diesem Tutorial geht, wäre die Einkapselung von RDP in SSL.
Das ganze geht so vonstatten, dass im Firmen-Intranet ein (oft ohnehin vorhandener) Server 2003 bereitsteht, auf dem Termnalservices aktiviert sind. Die Verwendung von SSL (bzw TLS) hat den Vorteil, dass bei dieser Variante sich der Server auch beim Client authentieren muss, was bei RDP normalerweise nicht der Fall ist, und Man-in-the-Middle-Attacken möglich macht.
Ferner wird die relativ schwache Verschlüsselung die RDP benutzt durch die starke TLS Verschlüsselung ausgeglichen.
Wie man das ganze konfiguriert würde ich euch gerne anhand einer schönen Anleitung illustrieren - doch leider hat mir jemand diese Arbeit bereits abgenommen, daher bin ich so frei und verweise auf folgende deutschsprachige Anleitung.
http://www.gwdg.de/GWDG-Nachrichten/GN0507/gn0507_03.html
Please also mark the comments that contributed to the solution of the article
Content-ID: 74636
Url: https://administrator.de/contentid/74636
Printed on: December 9, 2024 at 04:12 o'clock
11 Comments
Latest comment
ja des stimmt, is eine klasse sache des RDP over SSL
hat aber nur 3 Hacken
1. RDP Version 5.2 unterstütz erst die SSL verbindung.
Bei einer standart installation von WinXP mit SP2 ist immer noch RDP Version 5 drauf.
Allso entweder über GPO das MSI Packt "tsclient.msi" vom Win2003 verteilen oder einen
WSUS im Netz verwenden.
2. Man braucht ja ein Zertifikat, diese kann man kaufen oder selber einen Zertifikats Server
betreiben. Dann muss man noch das Zertifikat auf die Clients verteilen od. impotieren (GPO)
Die ersten Gründe sind nicht wirklich ein Problem sonderen nur eine Frage der Zeit und der Kosten.
Nur das Driete und wirkliche Probleme wo ich schon Monate lang nach einer lösung suche und schon ein paar mal ins Forum geschrieben habe ist:
RDP Version 6 was beim Vista standart ist und beim XP als Update verfügbar ist braucht dieses Zertifikat nicht, oder besser gesagt man kann sich ohne das Zertifikat auf den Server verbinden.
Wenn jemand eine Lösung kennt bitte zurück schreiben
Achja beim neuen Terminal Server 2008 wird das ganze einstellen mit Zertifikaten und Verbindungsaufbau noch einfacher, sprich start von einzelen Progammen im online oder offline Modus wie unter Citrix und RPC over HTTPS also RDP Sitzungen nur mehr über HTTPS (443) und keine eigener Port mehr für RDP (3389).
hat aber nur 3 Hacken
1. RDP Version 5.2 unterstütz erst die SSL verbindung.
Bei einer standart installation von WinXP mit SP2 ist immer noch RDP Version 5 drauf.
Allso entweder über GPO das MSI Packt "tsclient.msi" vom Win2003 verteilen oder einen
WSUS im Netz verwenden.
2. Man braucht ja ein Zertifikat, diese kann man kaufen oder selber einen Zertifikats Server
betreiben. Dann muss man noch das Zertifikat auf die Clients verteilen od. impotieren (GPO)
Die ersten Gründe sind nicht wirklich ein Problem sonderen nur eine Frage der Zeit und der Kosten.
Nur das Driete und wirkliche Probleme wo ich schon Monate lang nach einer lösung suche und schon ein paar mal ins Forum geschrieben habe ist:
RDP Version 6 was beim Vista standart ist und beim XP als Update verfügbar ist braucht dieses Zertifikat nicht, oder besser gesagt man kann sich ohne das Zertifikat auf den Server verbinden.
Wenn jemand eine Lösung kennt bitte zurück schreiben
Achja beim neuen Terminal Server 2008 wird das ganze einstellen mit Zertifikaten und Verbindungsaufbau noch einfacher, sprich start von einzelen Progammen im online oder offline Modus wie unter Citrix und RPC over HTTPS also RDP Sitzungen nur mehr über HTTPS (443) und keine eigener Port mehr für RDP (3389).
Hier ist der Link:
SSL oder TLS für Terminal Server erstellen
Oder über die Suche: SSL od. TSL für Terminal Server erstellen
SSL oder TLS für Terminal Server erstellen
Oder über die Suche: SSL od. TSL für Terminal Server erstellen
Zitat von @ghost4810:
Hier ist der Link:
Oder über die Suche: SSL od. TSL für Terminal Server
erstellen
Hier ist der Link:
Oder über die Suche: SSL od. TSL für Terminal Server
erstellen
Dieser Link funktioniert leider auch nicht.
Hat die Anleitung noch jemand? Suche findet nur diesen Beitrag...
Mit ein bisschen Gucken, die Seite anschauen und den Link anschauen hätte man es auch so hinbekommen, aber hier nun der Link (ist inzwischen eine PDF Datei)
http://www.gwdg.de/fileadmin/inhaltsbilder/Pdf/GWDG-Nachrichten/gn0507. ...
http://www.gwdg.de/fileadmin/inhaltsbilder/Pdf/GWDG-Nachrichten/gn0507. ...
@robbox
Der Link funktioniert doch.
@ChristianF
Bitte poste den Link auch als Link im diesem Bereich. Dann kann ich nämlich den Beitrag hier in die Tonne werfen.
Grüße,
Dani
Der Link funktioniert doch.
@ChristianF
Bitte poste den Link auch als Link im diesem Bereich. Dann kann ich nämlich den Beitrag hier in die Tonne werfen.
Grüße,
Dani
Wie man das ganze konfiguriert würde ich euch gerne anhand einer schönen Anleitung illustrieren - doch leider hat mir
jemand diese Arbeit bereits abgenommen, daher bin ich so frei und verweise auf folgende deutschsprachige Anleitung.
http://www.gwdg.de/GWDG-Nachrichten/GN0507/gn0507_03.html
jemand diese Arbeit bereits abgenommen, daher bin ich so frei und verweise auf folgende deutschsprachige Anleitung.
http://www.gwdg.de/GWDG-Nachrichten/GN0507/gn0507_03.html
Falscher Link, bitte korrigieren!