Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ist RDV über Internet sicher genug oder besser mit L2TP?

Frage Microsoft Windows Server

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

10.12.2006, aktualisiert 11.12.2006, 4317 Aufrufe, 8 Kommentare

Hallo,

für die Fernwartung verwenden wir u.a. RDV, mit dem wir uns beim Kunden per DSL einwählen können. Bis jetzt gab es da auch keine Probleme (wenn man den richtigen Port weiterleitet). Jetzt sagt mir ein Kunde, er wolle "was besseres, das wäre zu unsicher, man müsste das verschlüsseln". Habe ihm dann L2TP und IPSec angeboten.

M.E. ist ja RDP schon verschlüsselt (wie gut ist die?). Es wäre natürlich kein großes Problem, erst mal ein VPN mit L2TP/IPSec aufzubauen und dann darauf die RDV zu machen (Performance ist dann allerdings fühlbar schlechter). Aber ist das nötig? Und was mach ich mit Routern, die GRE oder L2TP-Passthrough nicht können?

Danke für Tipps!
Mitglied: aqui
10.12.2006 um 13:28 Uhr
Was soll "RDV" sein ??? Ich denke mal du meinst damit "Remote Desktop Verbindung" oder ??? Das ist identisch zu RDP bzw. das eingedeutschte Pendant !
RDP (Remote Desktop Protokoll) ist wenigstens keineswegs verschlüsselt ! Da laufen alle Daten im Klartext über eine standard TCP Verbindung inkl. Passwörter etc. Das betrifft meist alle Protokolle die ein "normales" remote Desktop Management benutzen wie VNC, PCanywhere, RDP, und andere Vertreter.
Von deren Unsicherheit kannst du dich sofort selber überzeigen, snifferst du mal eine solche Session mit einem freien Sniffer wie www.wireshark.org mit !
Wirklich sicher bist du nur wenn du diese unsicheren Protokolle in einer VPN Verbindung mit IPsec, PPTP oder ähnlichen Protokollen "versteckst".
Bitte warten ..
Mitglied: 17169
10.12.2006 um 13:44 Uhr
RDP ist verschlüsselt. Nichts desto trotz würde ich IMMER ein VPN über die Verbindung setzen. Anderenfalls kann ja jeder das Login des Servers sehen und munter Passwörter ausprobieren. Weiterhin ... was machst du wenn irgendwann mal ein Bug für RDP public wird und es auf die schnelle kein Patch dafür gibt !? Soll ja bei MS schon mal vorkommen


*edit*

[quote]
RDP (ursprünglich T.Share) basiert auf dem ITU-Protokoll T.128 und ist ein Protokoll der Ebenen 7–4 des OSI-Modell. Als einzig praktisch mögliches Transportprotokoll kann TCP/IP verwendet werden (standardmäßig TCP auf Port 3389).

Jede RDP-Version benutzt den RC4-Chiffrieralgorithmus, der für die Verschlüsselung von Datenströmen in Netzwerken konzipiert ist. Unter Windows 2000 kann ein Administrator zwischen einer Schlüssellänge von 56- oder 128-Bit auswählen. Die Verschlüsselung ist normalerweise bidirektional. Wird die Verschlüsselung auf die niedrigste Sicherheitsstufe gesetzt, so wird nur der Verkehr vom Client zum Server verschlüsselt, um zumindest empfindliche Daten wie z. B. Passwörter zu schützen. In der Standardeinstellung werden beide Richtungen mit einem Schlüssel von 56-Bit Länge verschlüsselt. 128-Bit Verschlüsselung kann erst nach der Installation des Windows 2000 High Encryption Pack eingestellt werden.

Auf Grund einer Designschwäche dieses Protokolls in Versionen vor 5.2 ist es jedoch möglich, dass Mitarbeiter in einem Netzwerk via ARP-Spoofing an sensible Daten gelangen (dazu Heise Security).

Als Server für RDP werden Windows Terminalserver 4.0, Windows Server 2000 und 2003, NetMeeting und Windows XP verwendet. Clients existieren für fast alle Betriebssysteme. RDP wird seit Windows XP standardmäßig für die Fernwartung von Windows-Rechnern („Remote-Unterstützung“) verwendet.

Seit Windows XP Service-Pack 1 ist die RDP-Version 5.1 verfügbar. Remote Desktop Protocol 5.2 ist eine Komponente von Windows XP Professional SP2. Seit Windows Server 2003 ist die RDP-Version 5.2 aktuell.

[/quote]
Bitte warten ..
Mitglied: sysad
10.12.2006 um 14:45 Uhr
Danke, das ist doch schon mal was. Lohnt sich der Aufwand, für RDV zertifikatbasiert zu arbeiten? Macht das jemand hier im Forum?

Was mache ich bei den Kunden, wo die Router nicht explizit ESP beherrschen oder wo kein L2TP-Passthrough geht? PPTP habe ich mittlerweile bei allen eingerichtet (ohne dass ich mich um Protokoll 47 gekümmert habe...), aber L2TP läuft eher nicht hinter NAT. Wie leite ich da das Protokoll 50 durch?
Bitte warten ..
Mitglied: 17169
10.12.2006 um 17:53 Uhr
Ein PPTP Tunnel sollte doch langen um RDP zusätzlich abzusichern. Nimmst halt als Authentifizierung MS Chap V2
Bitte warten ..
Mitglied: sysad
10.12.2006 um 20:43 Uhr
Danke derweil, so hab ich es gerade eingerichtet, werde nach und nach auch die anderen 'umrüsten'. Irgendwie würde ich aber schon gerne noch wo es geht L2TP/IPSec machen. Wird wohl so ein Sonntagsprojekt werden. Und bei Routertausch werde ich auf L2TP Passthrough achten.
Bitte warten ..
Mitglied: sysad
11.12.2006 um 10:35 Uhr
Ein PPTP Tunnel sollte doch langen um RDP
zusätzlich abzusichern. Nimmst halt als
Authentifizierung MS Chap V2

Frage: Ist bei einem PPTP-VPN der Sessionaufbau, wo also der Login und das PW abgefragt wird, schon geschützt (verschlüsselt oder wie auch immer)?
Bitte warten ..
Mitglied: 17169
11.12.2006 um 10:56 Uhr
Ich bin jetzt auch kein Experte, aber meines Wissens ist es möglich beim PPTP MS CHAP V2 den HashWert des Passworts abzufangen. EIn Angreifer könnte folglich versuchen das Passwort offline zu knacken. Bei IPsec "Aggressiv Mode" besteht allerdings dieselbe Gefahr. Mit einem entsprechend langen und sicheren Passwort / PreSahred key bist du also bei beiden Varianten sicher. PPTP ist halt günstiger weil du keinen extra IPSec Client kaufen musst. Windows kann das von Haus aus.
Bitte warten ..
Mitglied: aqui
11.12.2006 um 19:54 Uhr
Sorry....verwechselt, richtig. RDP ist mit einem RC4 Schlüssel chiffriert besitzt aber keine Authentisierungsfunktion !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Kein Internet: Nach Windows-Update weltweit Computer offline (7)

Link von transocean zum Thema Windows 10 ...

Netzwerkgrundlagen
gelöst PFSense kein Internet Zugang (6)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...