was ist besser/sicherer- rdp - vpn

[kano]

hallo alle hier.

ich habe in unserem firmennetzwerk einen windows2003 server hinter einem router installliert als terminal server und vpn server.
(2 netzwerkkarten fuer internes u externes netz),

was ist nun besser:

die leute greifen uebers internet mit remotedesktopverbindung
auf den server zu und loggen sich ein
(also geben im remotedesktopverbindung den
server firma.dyndns.org an und werden sofort verbunden)
(nur der port 3389 muss am router freigegeben werden)
oder die leute bauen erst eine vpn verbindung (pptp) mit dem
server firma.dyndns.org auf (port tcp 1723 und gre muessen freigegeben sein am router) und melden sich dann am terminal server mit der internen ip des servers an.

was ist besser und sicherer, einmal fuer das firmennetz,
wenn entweder port 1723 und gre oder
port 3389 offen sind nach aussen,

und zum zweiten fuer die kommunikation mit dem server an sich,
also abhoersicherheit der terminal clients und so..

schoenen gruß

marci.

[00sieben]

Hallo,

sicherer ist auf jeden Fall: zuerst per VPN einloggen und dann per RDP.

[kano]

ja und wieso?
rdp ist doch auch verschluesselt, was ist an vpn per pptp besser?

marci

[00sieben]

Hallo,

vpn ist halt besser verschlüsselt. Wenn du z.B. per IPSEC dich einloggst und dann dich via rdp verbindest hast du eine höhere Sicherheit. Dann sind auch noch einige andere Dienste wie Telnet, FTP ... besser per VPN zu realisieren. Natürlich kann Du auch noch einen dritten Weg gehen. Stichwort "Webaccess". Du verbindest dich direkt per Website zu deinem Rechner: "name.dyndns.org/tsweb". Schau mal was dir besser gefällt. Bei mir wird das nur zum Zweck der Ferwartung ausschließlich über VPN-RDP durchgeführt.

Ups, ich habe gerade nochmal Deinen Artikel gelesen. Ich hoffe, auf dem W2K3 srv sind 1. keine Daten und 2. dieser ist kein DC. Wäre schlecht wenn ein user ausversehen diesen srv platt macht. Auch auf eine richtige Userkonfiguration achten
Am besten wäre es, ich weiß ja nicht zu welchem Zweck die User auf den TS zugreifen, wenn du nur bestimmt Anwendungen frei gibst und citrix einsetzt. Geb mal noch ein bissel mehr input. Vielleicht kann ich dir noch ein paar Tips geben.

[kano]

also, ich denke mir das so:

ca 5 bis 10 leute aus unserem haus sollen von aussen (oft ausland)
ihre mails checken koennen.
jetz ist die frage, wie ich das mache:

entweder die leute loggen sich ueber vpn ins interne netz ein und ihr auf dem notebook installiertes outlook holt sich mails vom
exchange server

oder

die leute loggen sich via remotedesktop direkt in den server (als
terminal server eingerichtet) ein und starten das outlook im terminal und sind mit dem terminal im internen netz.

das wichtigste ist die sicherheit fuers interne netz.
bei der terminalserver loesung muesste ich nur den port 3389 freigeben, alles andere waere gesperrt.

und wie ist das, angenommen, jemand hat einen virus oder wurm o.ä. auf seinem rechner und loggt sich ueber remotedesktop ein, kann dieser virus dann auch ins interne
netz gelangen??

der rechner ist nicht im internen netz und es läuft auch
sonst nix wichtiges drauf, der soll nur dafuer benutzt werden.

schoene gruesse und schon mal vielen dank fuer die hilfe.

marci

[00sieben]

Hallo,

so nun: Für deine Zwecke ist Outlook Webaccess das absolut richtige. Die Leute schalten sich per Website auf -> name.dyndns.org/exchange. Dann wird eine Website geöffnet und nur Outlook wird gestartet. Sonst keine andere Anwendung. Da muß nur Port weitergeleitet werden, meines wissens nach. Das ist die beste Lösung. Virentechnisch sollte natürlich auf dem TS ein Programm laufen, z.B. von Trend Micro. - Auf den Notebooks natürlich auch.

[kano]

geht das denn mit exchange 5.5?

[00sieben]

Das kann ich dir jetzt nicht 100% beantworten. Da musst Du bis Nachmittag warten, ich werde mal nachfragen.

[kano]

danke!
es funktioniert mit ex 5.5 und einem server mit iis.
ich teste es mal.

vielen dank fuer den tipp!!!

aber wie ist das mit remotedesktop, koennen da viren/würmer etc
uebertragen werden ohne zutun des anwenders?

marci

[00sieben]

Es können eigentlich keine Viren rüberhüpfen. Aber durch den E-Mailverkehr können welche auf dem TS aktiviert werden.