Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ist RDV über Internet sicher genug oder besser mit L2TP?

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

10.12.2006, aktualisiert 11.12.2006, 4366 Aufrufe, 8 Kommentare

Hallo,

für die Fernwartung verwenden wir u.a. RDV, mit dem wir uns beim Kunden per DSL einwählen können. Bis jetzt gab es da auch keine Probleme (wenn man den richtigen Port weiterleitet). Jetzt sagt mir ein Kunde, er wolle "was besseres, das wäre zu unsicher, man müsste das verschlüsseln". Habe ihm dann L2TP und IPSec angeboten.

M.E. ist ja RDP schon verschlüsselt (wie gut ist die?). Es wäre natürlich kein großes Problem, erst mal ein VPN mit L2TP/IPSec aufzubauen und dann darauf die RDV zu machen (Performance ist dann allerdings fühlbar schlechter). Aber ist das nötig? Und was mach ich mit Routern, die GRE oder L2TP-Passthrough nicht können?

Danke für Tipps!
Mitglied: aqui
10.12.2006 um 13:28 Uhr
Was soll "RDV" sein ??? Ich denke mal du meinst damit "Remote Desktop Verbindung" oder ??? Das ist identisch zu RDP bzw. das eingedeutschte Pendant !
RDP (Remote Desktop Protokoll) ist wenigstens keineswegs verschlüsselt ! Da laufen alle Daten im Klartext über eine standard TCP Verbindung inkl. Passwörter etc. Das betrifft meist alle Protokolle die ein "normales" remote Desktop Management benutzen wie VNC, PCanywhere, RDP, und andere Vertreter.
Von deren Unsicherheit kannst du dich sofort selber überzeigen, snifferst du mal eine solche Session mit einem freien Sniffer wie www.wireshark.org mit !
Wirklich sicher bist du nur wenn du diese unsicheren Protokolle in einer VPN Verbindung mit IPsec, PPTP oder ähnlichen Protokollen "versteckst".
Bitte warten ..
Mitglied: 17169
10.12.2006 um 13:44 Uhr
RDP ist verschlüsselt. Nichts desto trotz würde ich IMMER ein VPN über die Verbindung setzen. Anderenfalls kann ja jeder das Login des Servers sehen und munter Passwörter ausprobieren. Weiterhin ... was machst du wenn irgendwann mal ein Bug für RDP public wird und es auf die schnelle kein Patch dafür gibt !? Soll ja bei MS schon mal vorkommen


*edit*

[quote]
RDP (ursprünglich T.Share) basiert auf dem ITU-Protokoll T.128 und ist ein Protokoll der Ebenen 7–4 des OSI-Modell. Als einzig praktisch mögliches Transportprotokoll kann TCP/IP verwendet werden (standardmäßig TCP auf Port 3389).

Jede RDP-Version benutzt den RC4-Chiffrieralgorithmus, der für die Verschlüsselung von Datenströmen in Netzwerken konzipiert ist. Unter Windows 2000 kann ein Administrator zwischen einer Schlüssellänge von 56- oder 128-Bit auswählen. Die Verschlüsselung ist normalerweise bidirektional. Wird die Verschlüsselung auf die niedrigste Sicherheitsstufe gesetzt, so wird nur der Verkehr vom Client zum Server verschlüsselt, um zumindest empfindliche Daten wie z. B. Passwörter zu schützen. In der Standardeinstellung werden beide Richtungen mit einem Schlüssel von 56-Bit Länge verschlüsselt. 128-Bit Verschlüsselung kann erst nach der Installation des Windows 2000 High Encryption Pack eingestellt werden.

Auf Grund einer Designschwäche dieses Protokolls in Versionen vor 5.2 ist es jedoch möglich, dass Mitarbeiter in einem Netzwerk via ARP-Spoofing an sensible Daten gelangen (dazu Heise Security).

Als Server für RDP werden Windows Terminalserver 4.0, Windows Server 2000 und 2003, NetMeeting und Windows XP verwendet. Clients existieren für fast alle Betriebssysteme. RDP wird seit Windows XP standardmäßig für die Fernwartung von Windows-Rechnern („Remote-Unterstützung“) verwendet.

Seit Windows XP Service-Pack 1 ist die RDP-Version 5.1 verfügbar. Remote Desktop Protocol 5.2 ist eine Komponente von Windows XP Professional SP2. Seit Windows Server 2003 ist die RDP-Version 5.2 aktuell.

[/quote]
Bitte warten ..
Mitglied: sysad
10.12.2006 um 14:45 Uhr
Danke, das ist doch schon mal was. Lohnt sich der Aufwand, für RDV zertifikatbasiert zu arbeiten? Macht das jemand hier im Forum?

Was mache ich bei den Kunden, wo die Router nicht explizit ESP beherrschen oder wo kein L2TP-Passthrough geht? PPTP habe ich mittlerweile bei allen eingerichtet (ohne dass ich mich um Protokoll 47 gekümmert habe...), aber L2TP läuft eher nicht hinter NAT. Wie leite ich da das Protokoll 50 durch?
Bitte warten ..
Mitglied: 17169
10.12.2006 um 17:53 Uhr
Ein PPTP Tunnel sollte doch langen um RDP zusätzlich abzusichern. Nimmst halt als Authentifizierung MS Chap V2
Bitte warten ..
Mitglied: sysad
10.12.2006 um 20:43 Uhr
Danke derweil, so hab ich es gerade eingerichtet, werde nach und nach auch die anderen 'umrüsten'. Irgendwie würde ich aber schon gerne noch wo es geht L2TP/IPSec machen. Wird wohl so ein Sonntagsprojekt werden. Und bei Routertausch werde ich auf L2TP Passthrough achten.
Bitte warten ..
Mitglied: sysad
11.12.2006 um 10:35 Uhr
Ein PPTP Tunnel sollte doch langen um RDP
zusätzlich abzusichern. Nimmst halt als
Authentifizierung MS Chap V2

Frage: Ist bei einem PPTP-VPN der Sessionaufbau, wo also der Login und das PW abgefragt wird, schon geschützt (verschlüsselt oder wie auch immer)?
Bitte warten ..
Mitglied: 17169
11.12.2006 um 10:56 Uhr
Ich bin jetzt auch kein Experte, aber meines Wissens ist es möglich beim PPTP MS CHAP V2 den HashWert des Passworts abzufangen. EIn Angreifer könnte folglich versuchen das Passwort offline zu knacken. Bei IPsec "Aggressiv Mode" besteht allerdings dieselbe Gefahr. Mit einem entsprechend langen und sicheren Passwort / PreSahred key bist du also bei beiden Varianten sicher. PPTP ist halt günstiger weil du keinen extra IPSec Client kaufen musst. Windows kann das von Haus aus.
Bitte warten ..
Mitglied: aqui
11.12.2006 um 19:54 Uhr
Sorry....verwechselt, richtig. RDP ist mit einem RC4 Schlüssel chiffriert besitzt aber keine Authentisierungsfunktion !
Bitte warten ..
Ähnliche Inhalte
Windows Server
Welches VPN ist besser oder sicherer ?
gelöst Frage von achim222Windows Server7 Kommentare

Hallo Leute, ich möchte einen Server 2012 R2 per RDP erreichbar machen, der in einem Rechenzentrum steht. Dafür würde ...

Router & Routing
2921 sicher aufbauen für Internet
gelöst Frage von CyberurmelRouter & Routing58 Kommentare

Hi all , aufbauend auf diesen post fb-wlan-2821 werde ich die FB als Client einbinden und ggfs. , wenn ...

Off Topic

Genug von der IT? - Der Freitagsthread 09.03

Frage von certifiedit.netOff Topic20 Kommentare

Genug von der IT? - Werde Hausmeister:

LAN, WAN, Wireless

Richtfunk - Zuverlässig genug?

gelöst Frage von QugartLAN, WAN, Wireless16 Kommentare

Mahlzeit zusammen! Unser kleines Rechenzentrum hängt momentan an einer 2.000er SDSL-Leitung. Aktuell reicht's noch, weil auf das ERP per ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 10 StundenServer-Hardware1 Kommentar

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 19 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung30 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing18 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...