Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ist RDV über Internet sicher genug oder besser mit L2TP?

Frage Microsoft Windows Server

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

10.12.2006, aktualisiert 11.12.2006, 4323 Aufrufe, 8 Kommentare

Hallo,

für die Fernwartung verwenden wir u.a. RDV, mit dem wir uns beim Kunden per DSL einwählen können. Bis jetzt gab es da auch keine Probleme (wenn man den richtigen Port weiterleitet). Jetzt sagt mir ein Kunde, er wolle "was besseres, das wäre zu unsicher, man müsste das verschlüsseln". Habe ihm dann L2TP und IPSec angeboten.

M.E. ist ja RDP schon verschlüsselt (wie gut ist die?). Es wäre natürlich kein großes Problem, erst mal ein VPN mit L2TP/IPSec aufzubauen und dann darauf die RDV zu machen (Performance ist dann allerdings fühlbar schlechter). Aber ist das nötig? Und was mach ich mit Routern, die GRE oder L2TP-Passthrough nicht können?

Danke für Tipps!
Mitglied: aqui
10.12.2006 um 13:28 Uhr
Was soll "RDV" sein ??? Ich denke mal du meinst damit "Remote Desktop Verbindung" oder ??? Das ist identisch zu RDP bzw. das eingedeutschte Pendant !
RDP (Remote Desktop Protokoll) ist wenigstens keineswegs verschlüsselt ! Da laufen alle Daten im Klartext über eine standard TCP Verbindung inkl. Passwörter etc. Das betrifft meist alle Protokolle die ein "normales" remote Desktop Management benutzen wie VNC, PCanywhere, RDP, und andere Vertreter.
Von deren Unsicherheit kannst du dich sofort selber überzeigen, snifferst du mal eine solche Session mit einem freien Sniffer wie www.wireshark.org mit !
Wirklich sicher bist du nur wenn du diese unsicheren Protokolle in einer VPN Verbindung mit IPsec, PPTP oder ähnlichen Protokollen "versteckst".
Bitte warten ..
Mitglied: 17169
10.12.2006 um 13:44 Uhr
RDP ist verschlüsselt. Nichts desto trotz würde ich IMMER ein VPN über die Verbindung setzen. Anderenfalls kann ja jeder das Login des Servers sehen und munter Passwörter ausprobieren. Weiterhin ... was machst du wenn irgendwann mal ein Bug für RDP public wird und es auf die schnelle kein Patch dafür gibt !? Soll ja bei MS schon mal vorkommen


*edit*

[quote]
RDP (ursprünglich T.Share) basiert auf dem ITU-Protokoll T.128 und ist ein Protokoll der Ebenen 7–4 des OSI-Modell. Als einzig praktisch mögliches Transportprotokoll kann TCP/IP verwendet werden (standardmäßig TCP auf Port 3389).

Jede RDP-Version benutzt den RC4-Chiffrieralgorithmus, der für die Verschlüsselung von Datenströmen in Netzwerken konzipiert ist. Unter Windows 2000 kann ein Administrator zwischen einer Schlüssellänge von 56- oder 128-Bit auswählen. Die Verschlüsselung ist normalerweise bidirektional. Wird die Verschlüsselung auf die niedrigste Sicherheitsstufe gesetzt, so wird nur der Verkehr vom Client zum Server verschlüsselt, um zumindest empfindliche Daten wie z. B. Passwörter zu schützen. In der Standardeinstellung werden beide Richtungen mit einem Schlüssel von 56-Bit Länge verschlüsselt. 128-Bit Verschlüsselung kann erst nach der Installation des Windows 2000 High Encryption Pack eingestellt werden.

Auf Grund einer Designschwäche dieses Protokolls in Versionen vor 5.2 ist es jedoch möglich, dass Mitarbeiter in einem Netzwerk via ARP-Spoofing an sensible Daten gelangen (dazu Heise Security).

Als Server für RDP werden Windows Terminalserver 4.0, Windows Server 2000 und 2003, NetMeeting und Windows XP verwendet. Clients existieren für fast alle Betriebssysteme. RDP wird seit Windows XP standardmäßig für die Fernwartung von Windows-Rechnern („Remote-Unterstützung“) verwendet.

Seit Windows XP Service-Pack 1 ist die RDP-Version 5.1 verfügbar. Remote Desktop Protocol 5.2 ist eine Komponente von Windows XP Professional SP2. Seit Windows Server 2003 ist die RDP-Version 5.2 aktuell.

[/quote]
Bitte warten ..
Mitglied: sysad
10.12.2006 um 14:45 Uhr
Danke, das ist doch schon mal was. Lohnt sich der Aufwand, für RDV zertifikatbasiert zu arbeiten? Macht das jemand hier im Forum?

Was mache ich bei den Kunden, wo die Router nicht explizit ESP beherrschen oder wo kein L2TP-Passthrough geht? PPTP habe ich mittlerweile bei allen eingerichtet (ohne dass ich mich um Protokoll 47 gekümmert habe...), aber L2TP läuft eher nicht hinter NAT. Wie leite ich da das Protokoll 50 durch?
Bitte warten ..
Mitglied: 17169
10.12.2006 um 17:53 Uhr
Ein PPTP Tunnel sollte doch langen um RDP zusätzlich abzusichern. Nimmst halt als Authentifizierung MS Chap V2
Bitte warten ..
Mitglied: sysad
10.12.2006 um 20:43 Uhr
Danke derweil, so hab ich es gerade eingerichtet, werde nach und nach auch die anderen 'umrüsten'. Irgendwie würde ich aber schon gerne noch wo es geht L2TP/IPSec machen. Wird wohl so ein Sonntagsprojekt werden. Und bei Routertausch werde ich auf L2TP Passthrough achten.
Bitte warten ..
Mitglied: sysad
11.12.2006 um 10:35 Uhr
Ein PPTP Tunnel sollte doch langen um RDP
zusätzlich abzusichern. Nimmst halt als
Authentifizierung MS Chap V2

Frage: Ist bei einem PPTP-VPN der Sessionaufbau, wo also der Login und das PW abgefragt wird, schon geschützt (verschlüsselt oder wie auch immer)?
Bitte warten ..
Mitglied: 17169
11.12.2006 um 10:56 Uhr
Ich bin jetzt auch kein Experte, aber meines Wissens ist es möglich beim PPTP MS CHAP V2 den HashWert des Passworts abzufangen. EIn Angreifer könnte folglich versuchen das Passwort offline zu knacken. Bei IPsec "Aggressiv Mode" besteht allerdings dieselbe Gefahr. Mit einem entsprechend langen und sicheren Passwort / PreSahred key bist du also bei beiden Varianten sicher. PPTP ist halt günstiger weil du keinen extra IPSec Client kaufen musst. Windows kann das von Haus aus.
Bitte warten ..
Mitglied: aqui
11.12.2006 um 19:54 Uhr
Sorry....verwechselt, richtig. RDP ist mit einem RC4 Schlüssel chiffriert besitzt aber keine Authentisierungsfunktion !
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Router & Routing
2921 sicher aufbauen für Internet (52)

Frage von Cyberurmel zum Thema Router & Routing ...

Windows Server
Acronis Backup sicher gegen Verschlüsselung (2)

Frage von jocologne zum Thema Windows Server ...

Internet
gelöst Internet verbindungs LOG (6)

Frage von simonlohr zum Thema Internet ...

Windows 7
gelöst GPO Internet Explorer Wartung entfernen (5)

Frage von xbast1x zum Thema Windows 7 ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (22)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Mac OS X
Mac kann nicht im LAN pingen alle anderen schon (19)

Frage von smartino zum Thema Mac OS X ...

Hardware
gelöst PCI-Express-Adapterfrage (14)

Frage von DerWoWusste zum Thema Hardware ...

Linux Netzwerk
DHCP IP-vergabe erst nach 1-2 Minuten (11)

Frage von Maik82 zum Thema Linux Netzwerk ...