7
Bringt eine RDP-Weiterleitung die 1012er Meldungen zum Schweigen?
Hallo!
Ich hab da mal eine kleine Verständnisfrage bzgl RDP und eine entsprechende Weiterleitung. Hab da iwie nen Knoten im Kopp.
Dauernd werden aufgrund Brute-Force-Versuche die Meldungen 1012 auf unserem Terminal-Server (Die Remotesitzung von Client a hat die maximal zulässigen Anmeldeversuche überschritten. Die Sitzung wird abgebrochen.) ausgelöst. Das ist ja nichts aussergewöhnliches für offene RDP-Ports. Hauptsache das PW ist sicher und die Anzahl der Anmeldeversuche eingeschränkt.
Nun möchte ich den Port ändern. Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von 3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle RDP-Anfragen von aussen nach innen zu meinem TerminalServer?
Wäre schön, wenn mich jemand aufklären könnte!
Ich hab da mal eine kleine Verständnisfrage bzgl RDP und eine entsprechende Weiterleitung. Hab da iwie nen Knoten im Kopp.
Dauernd werden aufgrund Brute-Force-Versuche die Meldungen 1012 auf unserem Terminal-Server (Die Remotesitzung von Client a hat die maximal zulässigen Anmeldeversuche überschritten. Die Sitzung wird abgebrochen.) ausgelöst. Das ist ja nichts aussergewöhnliches für offene RDP-Ports. Hauptsache das PW ist sicher und die Anzahl der Anmeldeversuche eingeschränkt.
Nun möchte ich den Port ändern. Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von 3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle RDP-Anfragen von aussen nach innen zu meinem TerminalServer?
Wäre schön, wenn mich jemand aufklären könnte!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 264414
Url: https://administrator.de/contentid/264414
Printed on: April 26, 2024 at 03:04 o'clock
7 Comments
Latest comment
Dauernd werden aufgrund Brute-Force-Versuche die Meldungen 1012 auf unserem Terminal-Server
Wie kommen die bis auf Euern RDS-Server?Bringt eine RDP-Weiterleitung die 1012er Meldungen zum Schweigen?
Nein. Zum Schweigen bringt die nur dieser freundliche IT-Beauftragte! Oder halt ein simples VPN 
Hallo,
Wird nicht viel bringen, ein Portscanner braucht dann 2-3 Sekunden länger um den Port zu finden......
http://nmap.org/man/de/man-port-scanning-techniques.html
Mit freundlichen Grüßen Andreas
Nun möchte ich den Port ändern. Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von 3389 auf z.B. 40000 stelle
Wird nicht viel bringen, ein Portscanner braucht dann 2-3 Sekunden länger um den Port zu finden......
http://nmap.org/man/de/man-port-scanning-techniques.html
Mit freundlichen Grüßen Andreas
Zitat von @Xabbu121:
Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von
3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle
RDP-Anfragen von aussen nach innen zu meinem TerminalServer?
Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von
3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle
RDP-Anfragen von aussen nach innen zu meinem TerminalServer?
Ich auch, denn wenn du den RDP-Port auf dem Server änderst aber die NAT-Regel nicht aktualisierst hast du dein Problem zwar gelöst, aber dafür kommt gar keiner einschließlich der berechtigten Personen mehr an RDP ran, dass du das wirklich willst bezweifle ich. Kommt mir eher so vor als hätte dir jemand gesagt "Ändere den Port um dein RDP abzusichern" und dir fehlt das Hintergrundwissen um zu verstehen, welchen Sinn und Zweck das haben soll.
Nun kurz gesagt heißt das Prinzip "Security through obscurity". In deinem Fall wird der Standardport geändert um zu verschleiern, dass auf diesem Server RDP und somit auch Windows läuft. Die generellen Meinungen dazu gehen von Totaler Quatsch bis hin zu "Ein anderes Sicherheitskonzept gibt es bei uns gar nicht". Ich persönlich halte keines dieser Extrema für richtig und sehe es als nützliche Ergänzung die nicht Schaden kann, würde aber keinesfalls ausschließlich darauf vertrauen.
Speziell beim Ändern von Standard-Ports ist der Nutzen zudem vergleichsweise gering, da wie bereits gesagt wurde jeder Portscanner den neuen Port relativ zügig findet. Somit schützt diese Maßnahme nur vor 0815 Bots sowie Scriptkiddys, die deine Domain/IP in das RDP-Fenster eingeben und einfach mal schauen wollen ob sie da zu einem Login kommen. Selbiges gilt für Linux-Server bzgl. SSH natürlich auch, genau wie für FTP-Server und andere verbreitete Dienste.
In deinem Fall solltest du aber nicht die Auswirkungen bekämpfen sondern dir lieber Gedanken über deine Struktur machen. RDP würde ich nicht unbedingt öffentlich erreichbar machen, da gibt es bessere Lösungen wie z.B. schon genannt ein VPN als Bridge einrichten.
Zitat von @ASP.NET.Core:
Kommt mir eher so vor als hätte dir jemand gesagt "Ändere den Port um dein RDP
abzusichern" und dir fehlt das Hintergrundwissen um zu verstehen, welchen Sinn und Zweck das haben soll.
...
In deinem Fall solltest du aber nicht die Auswirkungen bekämpfen sondern dir lieber Gedanken über deine Struktur machen.
RDP würde ich nicht unbedingt öffentlich erreichbar machen, da gibt es bessere Lösungen wie z.B. schon genannt ein
VPN als Bridge einrichten.
Kommt mir eher so vor als hätte dir jemand gesagt "Ändere den Port um dein RDP
abzusichern" und dir fehlt das Hintergrundwissen um zu verstehen, welchen Sinn und Zweck das haben soll.
...
In deinem Fall solltest du aber nicht die Auswirkungen bekämpfen sondern dir lieber Gedanken über deine Struktur machen.
RDP würde ich nicht unbedingt öffentlich erreichbar machen, da gibt es bessere Lösungen wie z.B. schon genannt ein
VPN als Bridge einrichten.
Hallo ASP.NET!
Danke für die ausführliche Antwort. Die Portänderung erschien mir ebenfalls unzureichend daher fragte ich - und ja, mir fehlte das Hintergrundwissen. Nun sehe ich dank Deiner Ausführung aber etwas klarer.
Die "RDP-Tradition" ist hier schon seit je her gegeben. Wir haben hier einige IGEL-Clients (Terminal) am laufen, wo einige Mitarbeiter von Zuhause aus zugreifen möchten. VPN ist ein von mir angestrebtes Ziel, doch bis zur vollständigen Umsetzung dauert es noch etwas und ich wollte nun nicht tatenlos die täglichen Versuche hinnehmen.
Die Passwörter werden regelmässig geändert und entsprechen sehr hohen Sicherheitsanforderungen. Ein Brut-Force versucht sich immer mit dem (logischerweise) Adminkonto anzumelden. Gibt es keine Möglichkeit den Administrator aus der Gruppe zu nehmen? Aber wahrscheinlich ist das auch eine elementare Frage, wo ich die Abhängigkeiten nicht verstehe und ein Ausschluss des Admins vollkommener Quatsch ist um sich nicht selbst auszuschliessen?
Hallo,
Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!
http://www.fail2ban.org/wiki/index.php/Main_Page
MfG Andreas
Selbiges gilt für Linux-Server bzgl. SSH natürlich auch, genau wie für FTP-Server und andere verbreitete Dienste.
Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!
http://www.fail2ban.org/wiki/index.php/Main_Page
MfG Andreas
Zitat von @Xabbu121:
Ein Brut-Force versucht sich immer mit dem (logischerweise) Adminkonto anzumelden.
Ein Brut-Force versucht sich immer mit dem (logischerweise) Adminkonto anzumelden.
Richtig, aus dem Grund sollte man typische administrative Benutzernamen wie Administrator, Admin oder ähnlich vermeiden. Insbesondere bei Windows-Servern kann man es wohl als Best Practice für Angreifer betrachten sein Glück mit diesem Benutzer zu versuchen. Das Konto ist standardmäßig vorhanden und die Wahrscheinlichkeit dass es existiert dementsprechend groß. Benenne das Konto also um bzw. deaktiviere es, und nutze zur Administration eines mit möglichst neutralem Name, auf den man als Außenstehender nicht so leicht kommt.
Verstehe ich nicht, aus welcher Gruppe? Die Anmelderichtlinien bzgl. Kontosperren kannst du natürlich deaktivieren falls du das meinst, nur frage ich mich was das bringen soll. Dann hast du das Problem bezüglich Accountsperre zwar nicht mehr, aber dafür wohl bald ganz andere, da Brutern Tür und Tor geöffnet ist. Wenn das Konto anders heißt wird sich kaum ein unbefugter mehr mangels Kenntnis des Benutzernamens anmelden können, somit gibt es keine nervigen Sperren mehr ohne Sicherheitsfunktionen deaktivieren zu müssen.
Zitat von @runasservice:
Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!
Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!
Bei mir auch nicht, ich verstehe nur nicht wie du bei meiner Aussage darauf schließt, dass es etwas äquivalentes nicht unter Linux gibt. Glaube du hast da was missverstanden. Wollte damit lediglich sagen, dass Scriptkiddys einfach die Domain/IP in die jeweiligen Clients eingeben können und schauen, ob auf den Standardports ein entsprechender Dämon lauscht. Sprich man öffnet RDP, gibt administrator.de ein und schaut ob da was läuft. Öffnet Putty oder einen anderen SSH-Client und schaut ob auf administrator.de ein SSH-Server auf dem Standardport läuft. Öffnet FileZilla und schaut ob auf dem Standardport ein FTP-Server am laufen ist und so weiter. Ich wollte darauf hinaus, dass die Nutzung von Nicht-Standardports lediglich ein paar Bots sowie die dümmsten Kiddys von weiteren Maßnahmen abhält. Denn die Kiddys öffnen RDP, connecten zu administrator.de, sehen da geht nix => Schade, nächste Seite. Wer ein bisschen mehr Ahnung hat wird nämlich wie hier schon erwähnt einen Portscanner benutzen, und dann wird RDP auch aufgelistet wenn der Dienst auf Port 47000 läuft.
Hallo,
nein, war soweit alles verständlich, war eben nur ein Hinweis auf das fail2ban von Linux
Wollte damit deine Ausführungen nur ergänzen.....
Was vergleichbares habe ich leider noch nicht für Windows gesehen. Würde das Brute-Force auf RDP (Problem) erstmal abschalten.
MfG Andreas
Glaube du hast da was missverstanden.
nein, war soweit alles verständlich, war eben nur ein Hinweis auf das fail2ban von Linux
Wollte damit deine Ausführungen nur ergänzen.....Was vergleichbares habe ich leider noch nicht für Windows gesehen. Würde das Brute-Force auf RDP (Problem) erstmal abschalten.
MfG Andreas
