5
Remote Desktop Lizenzierung über Firewall
Hallo,
Wir möchten gerne einen Remote-Desktop-Services-Server in einer DMZ betreiben.
Wir besitzen für intern bereits einen Lizenz-Server. Dessen Lizenzen sollen auch von dem Server in der DMZ genutzt werden.
Leider nutzt die Lizenzierung RPC und dieses dynamische Ports.
Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
Auch das läuft teilweise über RPC.
Es gibt dazu diverse Artikel, welche für mich alle nicht ganz schlüssig sind.
Man kann wohl den RPC-Bereich einschränken aber wie geht das und worauf wirkt sich das dann aus?
Weil den kompletten dynamischen Portbereich von ca. 1000-65000 freizugeben ist nicht gerade sicher.
Die Umgebung ist komplett Server 2008 R2.
Alle Clients befinden sich in einem internen Netz mit 2 Domaincontrollern.
Auf einem der Domaincontroller, nennen wir ihn mal DC1, läuft zudem die RDS-Lizenzierung (per User).
Im internen Netz nutzen die Clients bereits einen RDS-Server.
Nun soll in einer DMZ (Firewall ist eine Astaro) ein RDS-Server eingesetzt werden worüber die Clients ins Internet gehen sollen.
Für einen Lösungsvorschlag/Anleitung bezüglich der Umsetzung mit möglichst geringen Sicherheitsproblemen wären wir sehr dankbar.
Wir möchten gerne einen Remote-Desktop-Services-Server in einer DMZ betreiben.
Wir besitzen für intern bereits einen Lizenz-Server. Dessen Lizenzen sollen auch von dem Server in der DMZ genutzt werden.
Leider nutzt die Lizenzierung RPC und dieses dynamische Ports.
Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
Auch das läuft teilweise über RPC.
Es gibt dazu diverse Artikel, welche für mich alle nicht ganz schlüssig sind.
Man kann wohl den RPC-Bereich einschränken aber wie geht das und worauf wirkt sich das dann aus?
Weil den kompletten dynamischen Portbereich von ca. 1000-65000 freizugeben ist nicht gerade sicher.
Die Umgebung ist komplett Server 2008 R2.
Alle Clients befinden sich in einem internen Netz mit 2 Domaincontrollern.
Auf einem der Domaincontroller, nennen wir ihn mal DC1, läuft zudem die RDS-Lizenzierung (per User).
Im internen Netz nutzen die Clients bereits einen RDS-Server.
Nun soll in einer DMZ (Firewall ist eine Astaro) ein RDS-Server eingesetzt werden worüber die Clients ins Internet gehen sollen.
Für einen Lösungsvorschlag/Anleitung bezüglich der Umsetzung mit möglichst geringen Sicherheitsproblemen wären wir sehr dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 178670
Url: https://administrator.de/contentid/178670
Printed on: April 25, 2024 at 13:04 o'clock
5 Comments
Latest comment
Hallo,
gibt es einen speziellen Grund, warum ihr den RDS Host in der DMZ betreiben wollt?
gibt es einen speziellen Grund, warum ihr den RDS Host in der DMZ betreiben wollt?
Sicherheitsgründe.
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Bei dem was du vor hast, müsstest du aber etliche Ports öffnen. Eventuell machst du dir da mehr Probleme als du vorbeugen willst.
Wenn ihr euer Netz halbwegs gut abgesichert habt, werdet ihr denke ich keine großen Probleme haben. DIe RDS sollten sowieso stark eingeschränkt werden, wenn ihr dann noch die Firewall aktiviert (die man sowieso nur in einzelfällen abschalten sollte) und einen Virenschutz verwendet, sehe ich keine Probleme.
Ich hatte Kunden mit 10 TS, und nie Probleme gehabt.
Wenn ihr euer Netz halbwegs gut abgesichert habt, werdet ihr denke ich keine großen Probleme haben. DIe RDS sollten sowieso stark eingeschränkt werden, wenn ihr dann noch die Firewall aktiviert (die man sowieso nur in einzelfällen abschalten sollte) und einen Virenschutz verwendet, sehe ich keine Probleme.
Ich hatte Kunden mit 10 TS, und nie Probleme gehabt.
Hallo,
Macht irgendwie dann keinen Sinn.
Gruß,
Peter
Zitat von @dduchardt:
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Und ist deine Aussage von obenWir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
nicht genau dann dein Sicherheitsproblem?Macht irgendwie dann keinen Sinn.
Gruß,
Peter
Die Benutzer sind nicht identisch mit lokalen Benutzern, jedoch im AD verankert.
Es handelt sich dabei um Konten, die intern extrem eingeschränkt sind. Es gibt noch andere Dienste, die auf diesen Konten basieren und wir möchten neben dem regulären AD-Benutzer und diesem sicherheitstechnisch eingeschränkten Benutzer nicht noch eine dritte Benutzerverwaltung aufbauen.
Zudem ist es zwecks Authentifizierung am Web-Filter notwendig, dass die Benutzer AD-basierend sind, da der Filter sonst die Benutzer nicht unterscheiden kann, da Sie wegen RDS alle über dieselbe IP connecten.
Die Regelung, dass der Internetzugriff nur über Umwege über einen Rechner "außerhalb" des Firmennetzwerks stattfinden darf, ist aus verschiedenen Gründen nicht zu ändern.
Es gibt ja auch die Möglichkeit über diverse Registry-Einstellungen die Ports einzuschränken. Ich blicke dabei jedoch noch nicht voll durch.
Wir müssen bei dieser Sache halt gewährleisten, dass intern alles weiter funktioniert, was über RPC läuft.
Ich könnte jetzt probieren, die RPC-Ports nur auf dem RDS-Server extern zu ändern aber ich befürchte, dass dann der interne Server u.U. auf anderen Ports auf die Anfragen antwortet und dann ist das wieder Mist.
Intern die Ports einzuschränken könnte hingegen dazu führen, dass verschiedene RPC-Dienste nicht mehr funktionieren sobald eine gewisse Benutzeranzahl erreicht wird, die dann mehr Ports benötigen würde.
So habe ich das jedenfalls verstanden.
Da wir wesentlich weniger Internetnutzer als Nutzer insgesamt haben und Internet kein elementarer Prozess für uns ist, hätte ich kein Problem damit externdie Ports auf sagen wir mal ~20 einzuschränken, was dann wiederrum in Verbindung mit der Einschränkung des Zugriffs auf nur eine interne IP und in Verbindung mit Traffic-Analysierung eine recht hohe Sicherheit gewährleisten würde.
Es handelt sich dabei um Konten, die intern extrem eingeschränkt sind. Es gibt noch andere Dienste, die auf diesen Konten basieren und wir möchten neben dem regulären AD-Benutzer und diesem sicherheitstechnisch eingeschränkten Benutzer nicht noch eine dritte Benutzerverwaltung aufbauen.
Zudem ist es zwecks Authentifizierung am Web-Filter notwendig, dass die Benutzer AD-basierend sind, da der Filter sonst die Benutzer nicht unterscheiden kann, da Sie wegen RDS alle über dieselbe IP connecten.
Die Regelung, dass der Internetzugriff nur über Umwege über einen Rechner "außerhalb" des Firmennetzwerks stattfinden darf, ist aus verschiedenen Gründen nicht zu ändern.
Es gibt ja auch die Möglichkeit über diverse Registry-Einstellungen die Ports einzuschränken. Ich blicke dabei jedoch noch nicht voll durch.
Wir müssen bei dieser Sache halt gewährleisten, dass intern alles weiter funktioniert, was über RPC läuft.
Ich könnte jetzt probieren, die RPC-Ports nur auf dem RDS-Server extern zu ändern aber ich befürchte, dass dann der interne Server u.U. auf anderen Ports auf die Anfragen antwortet und dann ist das wieder Mist.
Intern die Ports einzuschränken könnte hingegen dazu führen, dass verschiedene RPC-Dienste nicht mehr funktionieren sobald eine gewisse Benutzeranzahl erreicht wird, die dann mehr Ports benötigen würde.
So habe ich das jedenfalls verstanden.
Da wir wesentlich weniger Internetnutzer als Nutzer insgesamt haben und Internet kein elementarer Prozess für uns ist, hätte ich kein Problem damit externdie Ports auf sagen wir mal ~20 einzuschränken, was dann wiederrum in Verbindung mit der Einschränkung des Zugriffs auf nur eine interne IP und in Verbindung mit Traffic-Analysierung eine recht hohe Sicherheit gewährleisten würde.
