RDP und Sicherheit
08.02.2012
20:24:27 Uhr492 Aufrufe
2 Antworten
20:24:27 Uhr
2 Antworten
Noch nicht bewertet
Hallo
Ich habe bezüglich RDP und Netzwerksicherheit eine Frage.
Ich hatte vor bei einem Windows Server RDP zu aktivieren und den Router so zu konfigurieren dass der dafür benötigte Port dementsprechend weitergeleitet wird, da der RDP Zugriff auch von aussen möglich sein sollte.
Das ist so weit alles kein Problem. In einem Gespräch mit einem Kollegen hiess es dann dass dies von der Sicherheit her sehr gefährlich sei und dies über einen VPN Tunnel verlaufen sollte. Dies sei deshalb so gefährlich da ja jeder (schon mal) bis zur Windows-Anmeldung kämme und damit schon in diesem Netzwerk (der Rest würde sich in solch einem Fall von selber erklären). Nun gut, ich sehe allgemein ein dass das nicht ganz sicher sein kann wen jeder per Remote in den Computer kann (auch wenn er nur das Windows-Anmeldefenster sieht) und habe vor das Ganze per VPN zu realisieren.
Da ich leider das Gespräch nicht dorthin vertiefen konnte wie das möglich sein soll, habe ich vor die Frage hier zu stellen. Ich habe viele Server gesehen bzw. kenne viele Server (von Freunden und irgendwelchen Anbietern) welche per RDP erreichbar sind und dafür es nicht notwendig ist vorher per VPN sich in das Netzwerk zu verbinden, Also quasi nur die IP Adresse im RDP-Client eingeben und auf verbinden drücken (sogar Standart-Port). Ich habe auch per Google nach Beiträgen gesucht wo dieses Risiko beschreiben, jedoch bin ich nicht fündig geworden. Ich finde nur Beiträge über Brute-Force Attacken (aber der Kollege meine, es reiche schon so, da man in das Netzwerk bereits drin wäre...).
Damit das hier nicht falsch aufgefasst wird, ich möchte keine Anleitung dafür oder ähnliches, mich interessiert jetzt nur ob das so geht. Kann ein Angreifer das Netzwerk dadurch ab scannen oder sogar Man-In-The-Middle spielen etc.?
Ich bin für jede Antwort dankbar!
Gruss,
b4tcher
Ich habe bezüglich RDP und Netzwerksicherheit eine Frage.
Ich hatte vor bei einem Windows Server RDP zu aktivieren und den Router so zu konfigurieren dass der dafür benötigte Port dementsprechend weitergeleitet wird, da der RDP Zugriff auch von aussen möglich sein sollte.
Das ist so weit alles kein Problem. In einem Gespräch mit einem Kollegen hiess es dann dass dies von der Sicherheit her sehr gefährlich sei und dies über einen VPN Tunnel verlaufen sollte. Dies sei deshalb so gefährlich da ja jeder (schon mal) bis zur Windows-Anmeldung kämme und damit schon in diesem Netzwerk (der Rest würde sich in solch einem Fall von selber erklären). Nun gut, ich sehe allgemein ein dass das nicht ganz sicher sein kann wen jeder per Remote in den Computer kann (auch wenn er nur das Windows-Anmeldefenster sieht) und habe vor das Ganze per VPN zu realisieren.
Da ich leider das Gespräch nicht dorthin vertiefen konnte wie das möglich sein soll, habe ich vor die Frage hier zu stellen. Ich habe viele Server gesehen bzw. kenne viele Server (von Freunden und irgendwelchen Anbietern) welche per RDP erreichbar sind und dafür es nicht notwendig ist vorher per VPN sich in das Netzwerk zu verbinden, Also quasi nur die IP Adresse im RDP-Client eingeben und auf verbinden drücken (sogar Standart-Port). Ich habe auch per Google nach Beiträgen gesucht wo dieses Risiko beschreiben, jedoch bin ich nicht fündig geworden. Ich finde nur Beiträge über Brute-Force Attacken (aber der Kollege meine, es reiche schon so, da man in das Netzwerk bereits drin wäre...).
Damit das hier nicht falsch aufgefasst wird, ich möchte keine Anleitung dafür oder ähnliches, mich interessiert jetzt nur ob das so geht. Kann ein Angreifer das Netzwerk dadurch ab scannen oder sogar Man-In-The-Middle spielen etc.?
Ich bin für jede Antwort dankbar!
Gruss,
b4tcher
filippg schreibt am 08.02.2012 um 22:42:46 Uhr
Hallo,
naja, klar: eigentlich ist das total sicher: ohne Nutzername & Kennwort kommt man nicht weiter. Eigentlich halt. Mit dieser Logik könnte man alle Dienste einfach im Internet anbieten. Fileshare? Kein Problem, ohne authentifzierten Nutzer geht nichts. Outlook-Anmeldung? Kein Thema. SAP? Gleiches.
Tut man aber nicht. Jedes Programm kann Sicherheitslücken haben. Und Best Practice ist daher definitiv, Server nicht einfach in's Internet zu stellen.
Gruß
Filipp
naja, klar: eigentlich ist das total sicher: ohne Nutzername & Kennwort kommt man nicht weiter. Eigentlich halt. Mit dieser Logik könnte man alle Dienste einfach im Internet anbieten. Fileshare? Kein Problem, ohne authentifzierten Nutzer geht nichts. Outlook-Anmeldung? Kein Thema. SAP? Gleiches.
Tut man aber nicht. Jedes Programm kann Sicherheitslücken haben. Und Best Practice ist daher definitiv, Server nicht einfach in's Internet zu stellen.
Gruß
Filipp
alex-1337 schreibt am 09.02.2012 um 10:36:12 Uhr
natürlich ist diese Vorgehensweise sehr unsicher.
Am besten is es einen anderen Port als den Standardport zu benutzen. denke dir einfach einen aus... und sage dann deinem Router, dass er Anfragen mit der Portnummer auf die Ip deines Rechners weiterleiten soll.
dies macht es zwar immernoch nicht sicher aber zumindest ist sicherer als den Standart RDP-Port zu verwenden.
Wenn du es wirklich sicher machen willst, dann empfehle ich dir OpenVPN einzurichten. ist zwar nicht ganz easy aber mit einer richtigen Anleitung sollte es in einer halben Stunde laufen.
OpenVpn-Anleitung
Hier eine Gute und leichtverständliche Anleitung..
Viel Erfolg...
Alex
Am besten is es einen anderen Port als den Standardport zu benutzen. denke dir einfach einen aus... und sage dann deinem Router, dass er Anfragen mit der Portnummer auf die Ip deines Rechners weiterleiten soll.
dies macht es zwar immernoch nicht sicher aber zumindest ist sicherer als den Standart RDP-Port zu verwenden.
Wenn du es wirklich sicher machen willst, dann empfehle ich dir OpenVPN einzurichten. ist zwar nicht ganz easy aber mit einer richtigen Anleitung sollte es in einer halben Stunde laufen.
OpenVpn-Anleitung
Hier eine Gute und leichtverständliche Anleitung..
Viel Erfolg...
Alex
