Jump to content

Sicherheit Windows Terminaldienste im Vergleich zu Citrix Presentation Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich weiß, Thema RDP und Sicherheit gab es zuhauf, allerdings habe ich meine momentan Fragen damit nicht beantworten können.

 

Szenario: Unternehmen hat unheimlich viel Geld vor ein paar Jahren in die Hand genommen, um "sicher" surfen zu können. Die arbeiten im Finanzsektor und haben eine komplette Domäne inkl. Citrix Presentation Server nur für das "freie" Surfen installiert und verbinden sich nun mit dem Browser halt über den Citrix Client. D.H. also Hardware + Windows Lizenzen + Terminalserver Lizenzen + Citrix Lizenzen.

Aufgrund von Umstrukturierungen stellt sich nun die Frage, ob das Ganze überhaupt noch so Not tut, vor allem, ob man nicht z.B. mindestens auf Citrix verzichten könnte. Den Terminalserver könnte man ja auf 2008 hochhieven (momentan 2003) und den Browser dann streamen. Hier wurde allerdings eingeworfen, dass RDP ja unsicher sei.

Wie wahrscheinlich ist es denn, dass man sich den Terminalserver infiziert und damit auch seine Client PCs? Welche Infektionsmöglichkeiten bestehen denn da? Ist da überhaupt ein Infektionsrisiko und ist das höher als bei der citrix- Variante?

 

Ich finde in Puncto Sicherheit + RDP immer nur, dass man den Dienst nicht "frei im Internet" zur Verfügung stellen sollte. Das wäre hier ja nicht der Fall, da es sich um 2 interne Netze handelt die halt ihren eigenen Bedürnissen halt abgesichert sind.

 

Schonmal vielen Dank für etwaige Antworten.

Link zu diesem Kommentar

Hi,

 

der damalige Consultant hat das behauptet und die Geschäftsführung hat es halt geglaubt. Wenn man ein wenig nachforscht, dann findet man ja auch einige Beiträge zu Sicherheitsmängeln betreffend RDP.

 

Mir stellt sich aber die Frage, ob ich denn Sicherheitsmängel in meinem Szenario hätte, ob ich also einen Client über RDP verseuchen könnte, bzw ob das wahrschenlicher ist, als beim Einsatz von XenAPP.

Link zu diesem Kommentar

Och, man findet hauptsächlich Beiträge zu einem Designfehler der ARP- Spoofing erlaubt.

Freund Google bietet da zig Links, aber z.B. auch Heise.

Allen voran z.B.

19 Sicherheitslücken in Windows-Komponenten und -Anwendungen geschlossen | heise Security

Ein Update (MS09-044) für die Remotedesktopverbindung verhindert, das ein bösartiger RDP-Server sowie eine manipulierte Webseite Schadcode in den RDP-Client schleusen und ausführen können.

 

und hier Kleiner Lauschangriff gegen Windows-Fernwartung | heise Security

 

und auch hier: http://www.mcseboard.de/windows-forum-lan-wan-32/rdp-protokoll-sicher-84853.html

 

Ich hatte hier auf eine Einschätzung der Problematik (mein oben grob umrissenes Szenario) von Experten bzw. IT- Verantwortlichen gehofft.

Link zu diesem Kommentar

Moin,

 

du führst hier hauptsächlich Gerüchte an (auch der Thread aus diesem Board besteht nur aus Gerüchten und bezieht sich noch dazu auf einen Stand von vor vier Jahren) und verweist auf eine Sicherheitslücke, für die es erstens einen Patch gibt und die zweitens nur in ganz bestimmten, aufwändigen Szenarien ausnutzbar ist.

 

RDP gilt mitnichten als "unsicher". Dabei ist aber insbesondere bei einem Vergleich immer der konkrete Anwendungsfall zu betrachten. Auf der jetzigen Ebene ist die Diskussion völlig sinnfrei.

 

Gruß, Nils

Link zu diesem Kommentar

Lücken gibt es in jeder Software. Die Frage ist, welche Lücke kann deine Lösung/Anforderung in der Praxis gefährden.

 

Du hast also eine TS Umgebung die hinter einer Firewall steht? Nur die entsprechenden Ports für die Citrix Clients sind offen? Wie abgeschottet ist die Umgebung, kann ein Benutzer zB eine PDF Datei auf seinen Client herunterladen?

 

Nehmen wir mal an du fangst dir durch eine Lücke in diversen Produkten ein, die beim Surfen zum Einsatz kommen (Browser, Flash, Pdf, Java,..). Bei entsprechender Konfiguration erwischt es im schlimmsten Fall deine Terminal Server. Aber ich sehe jetzt keinen großen Unterschied ob du mit RDP/ICA zugreifst.

 

Über die Sicherheit des Protokolles würde ich mir Gedanken machen wenn du es ohne zusätzliche Lösung (zB VPN) übers Internet nutzen möchtest.

Link zu diesem Kommentar

@ NilsK

Natürlich sind es Gerüchte. Leider auch sehr hartnäckige, daher kann es idR schon nicht schaden da einmal drüber zu reden, um evtl. auch Gegenargumente zu finden. Den Anwendungsfall habe ich ja oben beschrieben, dazu hätte man also schon was sagen können.

 

@GerhardG

Lücken gibt es in jeder Software. Die Frage ist, welche Lücke kann deine Lösung/Anforderung in der Praxis gefährden.

 

Du hast also eine TS Umgebung die hinter einer Firewall steht? Nur die entsprechenden Ports für die Citrix Clients sind offen? Wie abgeschottet ist die Umgebung, kann ein Benutzer zB eine PDF Datei auf seinen Client herunterladen?

 

Nehmen wir mal an du fangst dir durch eine Lücke in diversen Produkten ein, die beim Surfen zum Einsatz kommen (Browser, Flash, Pdf, Java,..). Bei entsprechender Konfiguration erwischt es im schlimmsten Fall deine Terminal Server. Aber ich sehe jetzt keinen großen Unterschied ob du mit RDP/ICA zugreifst.

 

Über die Sicherheit des Protokolles würde ich mir Gedanken machen wenn du es ohne zusätzliche Lösung (zB VPN) übers Internet nutzen möchtest.

Vielen Dank für deine Einschätzung. Ja, das "Surfnetzwerk" steht hinter einer Firewall. Zum einen zum Internet hin, zum anderen auch zum Produktivnetz. Ports sind nur für ICA offen. Dateien werden per Mail in das Produktivsystem reingeschickt. Bei größeren Dateien durch Admins. Daher sehe ich das eigentlich genau so, dass es vom Konzept keinen Unterschied in der Sicherheit besteht, bo RDP oder ICA.

 

Wie gesagt, da gab es jahrelanges fragwürdiges Consulting. Dazu kommen dann solche Meldungen von heise, die halt dann doch irgendwie verunsichern. Aber wenn ihr meint, die Wahrscheinlichkeit sich etwas über die RDP- Verbindung einzufangen ist verschwindent gering, dann sind wir ja einer Meinung. Der Terminalserver selber ist ja auch abgesichert (AntiVirus, ISA Server), hatte aber schon das eine oder andere Mal eine Virenmeldung. Inwiefern das jetzt ein false positive war kann ich nicht mehr nachvollziehen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...