RDP Portforewarding = großes Sicherheitsproblem ?

[substyle 20]

Hallo Leute,

 

ich bin in einer Situation, in der ich ein Netz nur über einen Router erreichen

kann der kein VPN unterstützt. Daher habe ich überlegt ob es machbar ist

den Port 3389 an eine IP im Netz dahinter mit einem forwarding zu versehen.

 

Andererseits sehe ich darin auch eine nicht unerhebliche Sicherheitslücke.

 

Was denkt ihr? Ist ein 3389 forwarding ein no-go?

 

subby

[XP-Fan 234]

Ahoi,

 

ich würde dich ne VPN empfehlen welche der Server terminiert.

Danach den RDP loslassen.

 

P.S. RDP Port 3389

[substyle 20]

Das Prob ist das es am anderen Ende keinen Server gibt, da dort nur

zwei Clients für eine Woche stehen werden ..

 

Hatte schonmal überlegt ob man den port umbiegen sollte , also auf 13458 oder so

 

subby

[tcpip 12]

Hallo,

 

genau solche Fragen stelle ich mir auch schon lange.

 

Ich geh mal davon aus das die Router über dyndns erreichbar sind. Richtig?

Also müsste man die dyndns Adresse kennen. Wenn man die kennt und RDP aufruft kommt das Login. Das sollte allerdingst "stark" sein. Das wäre eine Lücke. Abgesehen davon das der Datentransfer unverschlüsselt abgewickelt wird, was ja auch nicht sein sollte.

 

Evnt. wäre Ultra VNC eine Lösung das eine SSL Verschlüsselung erlaubt.

 

 

Gruß

 

tcpip

[nobex 10]

Hallo,

Abgesehen davon das der Datentransfer unverschlüsselt abgewickelt wird, was ja auch nicht sein sollte.

'aktuelle' RDP-Verbindungen sind m.E. verschlüsselt.

 

Gruß Robert

[Squire 290]

Richtig ... je nach Einstellung 40,56 oder 128 Bit verschlüsselt. Steht ein 2003er dahinter kann man sogar mit Zertifikaten arbeiten

[OnkelGauss 10]

Unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] --> "PortNumber" (HEX) lässt sich der Port ändern. Das bringt evtl. ein kleinwenig mehr "Sicherheit". (Nach dem Ändern evtl. Portforwarding @ Router nicht vergessen)

 

Eine andere Lösung wäre die Installation eines SSH-Servers (z.B. http://freesshd.com/). Anschliessend könntest du via PuTTY (PuTTY: a free telnet/ssh client) eine sichere Verbindung zum SSH-Server aufbauen und via Tunnel eine RDP-Verbindung via SSH öffnen. Hat den Vorteil, dass man nur den SSH-Port offen haben muss und trotzdem via Tunnel eine Menge machen kann.

[hh2000 10]

Moin,

 

das beschäftigt mich auch schon länger. Ich habe, um auf meine Server zu kommen, den

port 3389 am Router verbogen und muss nun im RDP-Client den port mit angeben.

 

Gleichfalls habe ich eine Überwachung aller Verbindungen am Router von "umgebogener" Port -> 3389 eingericht, so das ich bei Zugriff ein Mail erhalte, auch fehlgeschlagene Anmeldeversuche am Server werden protokolliert.

 

Sollte nun ein unerlaubter Zugriff stattfinden (ich hoffe der erste dann nicht erfolgreich),

so könnte ich das ganze auch erstmal wieder abschalten.

 

Die Verschlüsselungsstufe ist "Hoch", die Sicherheitsstufe ist "RDP-Sicherheitsstufe".

Ein Man-In-The-Middle Angriff ist hier wohl möglich, aber wars***einlicher im internen Netz als über das Internet. Hier wären Zertifikate und TLS-Verschlüsselung angebracht.

 

Ich weiß aber nicht, ob und wie das beim XP-Pro ist ??

 

Gruß Kai

 

Etwas Lektüre:

 

3. RDP über SSL (TLS 1.0) - neues Feature bei Windows Server 2003 SP 1

heise Security - Praxis - Kleiner Lauschangriff gegen Windows-Fernwartung

High Encryption on a Remote Desktop or Terminal Services Session Does Not Encrypt All Information