Jump to content

RDP - wie gefährlich?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen

 

In der letzten Zeit hatte ich einige Diskussionen bezüglich "RDP über Internet" (für Terminalserver, nicht für Administrationszwecke). Die Bandbreite der Meinungen reicht von "geht gar nicht, nur über VPN oder man nimmt Citrix" bis "kein Problem bei neuen und aktuell gehaltenen Servern".

 

Ich sehe folgende Risiken:

1. Passwort von Benutzer wird herausgefunden

2. Server wird durch Lücke in RDP "gehackt"

3. Kommunikation wird abgehört

 

Punkt 1 ist sicher richtig, lässt sich aber durch starke Passwörter und allenfalls 2FA verhindern.

Bezüglich Punkt 2 gab es in der Vergangenheit leider einige Vorfälle. Seit NLA kommt aber der komplexe und potentiell anfällige RDP-Code erst nach erfolgter Authentifizierung zum Einsatz.

Punkt 3 sollte dank TLS kein Problem mehr sein.

 

Wie seht ihr das? Ist RDP trotz aktiviertem NLA immer noch zu gefährlich, um es ins Internet geöffnet zu haben? Oder ist diese fixe Meinung überholt? Irgendwie wäre es eine Bankrotterklärung, wenn wichtige Dienste eines aktuellen Betriebssystems zu unsicher wären für den Zugriff über Internet. Selbst SMB macht man mitterlweile über Internet, siehe Azure. :-)

 

Vielen Dank für eure Meinungen!

Link to post

Moin,

 

RDS übers Internet geht nur durch einen RD Gateway. An dieser Stelle kannst Du MFA integrieren oder eine andere Art Prä-Authentifizierung einbauen, damit Brute Force von Kennwörtern nicht möglich ist. Auch um einen Single Point of Entry zu haben brauchst Du den Gateway, denn Du kannst ja kein NAT von einer Public IP zu mehreren Zielen auf dem gleichen Port haben, und ich glaube nicht, dass jemand so viele Public IPs für die Farm bereitstellt wie sie Server hat ;-)

 

Das alles gilt für Citrix oder VMware genau so. Du kannst eine normale XenApp-/View-Farm rein technisch nicht ins Internet öffnen, ohne einen NetScaler/UAG als Gateway vorzuschalten - allein schon aus dem Argument der Public IPs heraus, und die Sicherheit kommt natürlich hinzu.

 

Und in dem Szenario mit Gateway *und* MFA ist es in meinen Augen nicht weniger sicher als alles andere. Es darf natürlich nur Port 443 inbound erlaubt sein ;-)

Link to post
vor einer Stunde schrieb mwiederkehr:

Wie seht ihr das? Ist RDP trotz aktiviertem NLA immer noch zu gefährlich, um es ins Internet geöffnet zu haben?

Ja. Wie viele Lücken gabs denn so in letzter Zeit? Das werden auch nicht die letzten gewesen sein. Und jeder mit Firewall kann Port 3389 Scans in Aktion sehen. ;)

Link to post

Danke für eure Antworten! Ja, es gab leider mehrere Lücken, wobei die soweit mir bekannt bei neueren Betriebssystemen nicht ausgenutzt werden konnten, wenn NLA aktiviert war. Deshalb hatte ich die Hoffnung, dass NLA die Komplexität des am Internet hängenden Codes soweit reduziert hat, dass er sicherheitstechnisch überschaubar ist. Der Webserver spricht ja auch mit dem Internet und wird nicht dauernd gehackt. :-)

 

Bei Farmen ist klar, dass alles über einen Gateway läuft. Der NetScaler kann die Anmeldungen direkt gegen das AD prüfen, noch bevor der potentielle Angreifer zu den Servern durchgelassen wird. Es ging mir mehr um kleine Umgebungen. Bei RDWeb mäkeln die Benutzer über fehlenden Komfort und VPN ist auch keine Freude, wenn die Leute von privaten Rechnern aus arbeiten sollen.

Link to post
vor 8 Minuten schrieb mwiederkehr:

Bei Farmen ist klar, dass alles über einen Gateway läuft. 

Du kannst - und sollst - auch einen einzelnen Terminalserver hinter einem Gateway "verstecken". Alles andere ist grob fahrlässig. Es gab, wenn ich mich recht erinnere, letztes Jahr auch eine Lücke, die sogar erst durch NLA ermöglicht wurde.

Und RDWeb musst Du den Leuten auch bei einer Farm nicht zwingend antun. Du kannst durch RDWeb signierte .RDP-Dateien herunterladen und sie den Usern einfach so zum Draufklicken überlassen. Wir hatten das bei einer Behörde für ein Dutzend Applikationen fünf Jahre lang so praktiziert.

Link to post
vor 1 Stunde schrieb mwiederkehr:

Deshalb hatte ich die Hoffnung, dass NLA die Komplexität des am Internet hängenden Codes soweit reduziert hat, dass er sicherheitstechnisch überschaubar ist. Der Webserver spricht ja auch mit dem Internet und wird nicht dauernd gehackt.

Der Webserver steht ja hoffentlich auch nicht innerhalb deines LANs und hat Zugriff auf alle Applikationen. Falls doch, würde ich das mal sehr schnell ändern.

vor 1 Stunde schrieb mwiederkehr:

Bei RDWeb mäkeln die Benutzer über fehlenden Komfort und VPN ist auch keine Freude, wenn die Leute von privaten Rechnern aus arbeiten sollen.

Sicherheit und Bequemlichkeit liegen nunmal an entgegensetzten Enden einer Linie. RDP gehört weder mit noch ohne NLA direkt ins Internet. Wer das heute noch tut, hats echt nicht anders verdient.

 

Bye

Norbert

Link to post

Moin,

 

sagen wir es mal so: Ich bin kein ausgewiesener Security-Spezialist, wurde aber im letzten Jahr zu mehreren Major-Incidents gerufen, bei denen es um eine vollständige Domänenübernahme ging. Darunter eine Uni und ein Glücksspielanbieter, nicht nur kleine Butzen. in *allen* Fällen war das Einfallstor bei schlecht gesicherten RDP-Servern gefunden worden. 

 

Gruß, Nils

 

Link to post
vor 3 Stunden schrieb cj_berlin:

Du kannst - und sollst - auch einen einzelnen Terminalserver hinter einem Gateway "verstecken". Alles andere ist grob fahrlässig. Es gab, wenn ich mich recht erinnere, letztes Jahr auch eine Lücke, die sogar erst durch NLA ermöglicht wurde.

Ja, aber es gab auch eine Lücke, die erst durch das Gateway ermöglicht wurde. :-) Aber schon klar, habe ich verstanden.

vor 3 Stunden schrieb cj_berlin:

Und RDWeb musst Du den Leuten auch bei einer Farm nicht zwingend antun. Du kannst durch RDWeb signierte .RDP-Dateien herunterladen und sie den Usern einfach so zum Draufklicken überlassen. Wir hatten das bei einer Behörde für ein Dutzend Applikationen fünf Jahre lang so praktiziert.

Oder mit den Ressourcen arbeiten, was ja quasi per Feed aktualisierte RDP-Dateien sind. Funktioniert auch ganz gut.

vor 2 Stunden schrieb NorbertFe:

Der Webserver steht ja hoffentlich auch nicht innerhalb deines LANs und hat Zugriff auf alle Applikationen.

Gutes Argument, das hatte ich so noch nicht bedacht, danke!

vor 15 Minuten schrieb NilsK:

in *allen* Fällen war das Einfallstor bei schlecht gesicherten RDP-Servern gefunden worden.

Krass, das hätte ich so nicht vermutet.

 

Noch eine letzte Frage: euch ist auch keine Firewall oder virtuelle Appliance bekannt, die ein RDP-Gateway integriert hat? Kemp macht nur TCP-Load-Balancing auf RD-Gateways, bei Citrix soll es gehen, aber nur in den teuren Versionen. Sonst habe ich nichts gefunden. Ausser Guacamole, aber das packt RDP dann gleich in HTML5. :-) (Was für privat übrigens eine coole Lösung ist, falls ihr etwas Basteln wollt über die Feiertage.)

Link to post
vor 2 Minuten schrieb mwiederkehr:

Noch eine letzte Frage: euch ist auch keine Firewall oder virtuelle Appliance bekannt, die ein RDP-Gateway integriert hat? Kemp macht nur TCP-Load-Balancing auf RD-Gateways, bei Citrix soll es gehen, aber nur in den teuren Versionen. Sonst habe ich nichts gefunden. Ausser Guacamole, aber das packt RDP dann gleich in HTML5. :-) (Was für privat übrigens eine coole Lösung ist, falls ihr etwas Basteln wollt über die Feiertage.)

...aber warum? HTML5 kann MS-RDS auch so, und RDG ist ja auch da. Brauchst nur einen Windows Server mit zwei Beinen... 

Und es gab auch letztes Jahr eine Lücke, die erst durch den NetScaler möglich war ;-)

Link to post
vor 26 Minuten schrieb cj_berlin:

...aber warum? HTML5 kann MS-RDS auch so, und RDG ist ja auch da.

Das stimmt, aber den HTML5-Client gibt es noch nicht so lange.

 

Warum RDG separat? Ich suche schon länger eine Lösung, um mehrere Server am gleichen Standort, aber in verschiedenen, getrennten Domänen bzw. Workgroups, anzubinden (Hoster). Das RDG ist ja auf eine Domäne limitiert. Für Adminzwecke läuft aktuell alles über einen "Jump-Host" mit RDG und 2FA und von dort aus dann intern weiter über RDP. Die Kunden selbst arbeiten per VPN. Es wäre schön, eine saubere Gateway-Lösung zu haben, ohne für jeden Kunden ein komplettes RD-Setup zu machen. Aktuell haben die kleinen Kunden nur einen Server (ohne Domäne).

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...