Hallo, ich habe einen Windows Server und bis jetzt nutzte ich eine Remote Desktop-Verbindung um meinen Server zu erreichen, die ich per VPN getunnelt habe. Ich nutze mittlerweile Windows 8 und habe einen Windows Server 2012 > also kommuniziere ich über RDP 8.0. Wie ich sehe hat sich durch die letzten RDP Versionen einiges sicherheitstechnisch getan!! 1. Also welche Punkte muss ich nun tun, damit ich eine "möglichst sichere" Verbindung zu meinem Server erhalte? 2. Ist das Tunneln über VPN nun überhaupt noch nötig, oder ist diese Sicherheitslücke mittlerweilen schon geschlossen? 3. Kann ich meine unter Windows 8 erstellte RDP-Verknüpfung dann auf mein Windows 7 Notebook kopieren und läuft dann da die Verbindung auch über RDP 8.0?
1. OpenVPN als Tunnel verwenden mit zB AES256-CBC und "starken" Zertifikaten. Außerdem noch IP-Range Beschränkungen für den verwendeten OpenVPN Port. Eine Firewall-Appliance VOR deinen Windows-Server setzen (zB PFSense oder IPFire) - macht auch gleich OpenVPN für dich ;) Und dazu noch ein IDPS wie zB SNORT laufen lassen. 2. Hast du dir mal bei MSDN die verfügbaren Verschlüsselungen angeschaut ? Wenn nicht kannste da ja mal machen - ältere RDP protokolle solltest du auf jedenfall abschalten. 3. Ne, du musst wenn auch die OpenVPN Zertfikate+Zugangsdaten kopieren und einrichten. Ansonsten reicht es eine .RDP Datei zu exportieren für die Remoteesktop Anwendung.
Ich kann nicht wirklich beurteilen, wie gut/sicher eine Verbindung ist, dazu fehlt mir das fachliche Wissen... Aber ich habe hier von den Sicherheitseinstellungen gelesen http://technet.microsoft.com/de-de/library/cc753488.aspx und auch das TLS als sicherste Version des SSL-Protokolls per default aktivier ist. Auch dass man sich Stammzertikate herunterladen kann, ... Also ich hätte nun folgende Sachen gemacht: -Admin umbennen und zusätzlichen Benutzer anlegen -diesem Benutzer die Rechte für die RDP-Verbindung geben ... und folgenden Haken in dem Systemeigenschraften des RDP Protokolls auswählen: "Allow connections only from computers running remote desktop with network level authentication (recommended)" -Den RDP-Port umstellen -eigenes Zertifikat besorgen für die Remote-Verbindung ...sollte man bzw. kann man den Abmin-Zugang per RDP unterbinden und den Zugriff nur noch dem neuen Benutzer (der ja auch weniger Rechte hat) erlauben? Ist das alles noch zu unsicher und VPN bzw. OpenVPN wirklich nötig?
Wenn Du Dein RDP verschlüsselst (und diese Verschlüsselung ausreichend gesichert ist), ist der RDP-Dienst des Windows-Servers aber immer noch direkt über das Internet erreichbar. Eine Sicherheitslücke in dem RDP-Dienst oder einer der von dem RDP-Dienst genutzten Bibliotheken macht also immer noch den gesamten Server angreifbar. Die letzte Lücke dieser Art ist gar nicht so lange her: http://support.microsoft.com/kb/2671387 Ich würde mich daher nicht alleine auf den RDP-Dienst verlassen. Pack ein VPN davor, dann muss ein Angreifer 2 Hürden überwinden bevor er auf den Server kommt. Mit VPN meine ich nicht PPTP, sondern was richtiges wie IPSec oder meinetwegen auch OpenVPN, auch wenn ich von letzterem nicht so überzeugt bin. Das VPN nicht auf dem Zielserver enden lassen, sondern auf einer separaten Firewall oder VPN-Server davor.
Danke, mir ist alles zwar noch nicht ganz klar, aber das noch ne Hürde es noch sicherer macht klingt für mich logisch ;-) Ich habe hier folgendes gefunden: http://www.anleitungen.lars-bronsert.de/?page_id=6982 Dort sind Anleitungen, wie ich unter Windows Server 2012 VPN installiere und konfiguriere. Oder meinst du, dass bedeutet dann das das VPN auf dem Zielserver endet? Habt Ihr eine Anleitung, der man hier trauen kann? Ich habe hier schon so viel verschiedenes gelesen, aber kann leider nicht sagen/bewerten, ob dies Aussagen eines Profis oder eines Anfängers sind...
Sabine schrieb: > http://www.anleitungen.lars-bronsert.de/?page_id=6982 > Dort sind Anleitungen, wie ich unter Windows Server 2012 VPN installiere > und konfiguriere. Oder meinst du, dass bedeutet dann das das VPN auf dem > Zielserver endet? 1. ist das eine Verbindung über PPTP. Von PPTP würde ich generell abraten, dessen Sicherheitsniveau ist nicht mehr zeitgemäß. Das hat mittlerweile auch Microsoft eingesehen, die setzen jetzt auch primär auf IPSec mit IKEv2. Das PPTP wird nur noch aus Kompatibilitätsgründen angeboten. 2. endet das VPN dann auf dem Windows Server. Wenn jetzt der PPTP-Dienst ne Sicherheitslücke hat, ist der Angreifer wieder direkt auf dem Server. Deshalb würde ich ja eine separate Firewall oder VPN-Server davorschalten die das ganze VPN regelt und dann nur die berechtigten User an den Windows Server ranlässt. Für das VPN würde ich nicht auf Windows Server setzen. Meistens hat der Router oder eine Firewall sowas schon eingebaut, zumindest wenn das nicht absolute Billigteile sind. Was hast Du denn für einen Router im Einsatz? Ist hinter dem Router noch ne separate Firewall vorhanden? Wenn ja, was für ein Modell?
1) Ich habe nun noch folgende Seite gefunden. Hier schreibt ein "Experte" (allerdings 2009) das RDP durch TLS relativ sicher sein soll wenn man dazu seine 5 Punkte beachtet (sicheres PW, Lockout Policies, Timeouts, etc). http://www.eberlysystems.com/blog/2009/12/rdp-vs-sshsslvpn-security-and-usability/ 2) Warum macht man einen VPN Tunnel und nicht einen SSH Tunnel? Was ist der Unterschied zwischen VPN und SSH? 3) Wenn ich auch an meinem Windows 8.1 Client eine feste IP hätte, könnte ich im Server ja einstellen, dass er nur Verbindungen mit meiner Client IP eingehen darf. Da wir aber ja alle 24h ne neue IP vom Provider erhalten wollte ich hier mal fragen, ob es denn auch möglich ist dies durch DynDNS Dienste (also per Name wie z.B. "meinserver.dyndnsdienst.de" zu umgehen? ...viele nutzen dyndns dienste um auf ihr NAS von überall zugreifen zu könnten. Das wäre dann eben der umgekehrte weg. ...ist es also möglich, dann im Server einzustellen, dass er nur Verbindungen zum Client "meinserver.dyndnsdienst.de" machen darf?
Sabine schrieb: > 1) > Ich habe nun noch folgende Seite gefunden. Hier schreibt ein "Experte" > (allerdings 2009) das RDP durch TLS relativ sicher sein soll wenn man > dazu seine 5 Punkte beachtet (sicheres PW, Lockout Policies, Timeouts, > etc). Das hilft aber nichts gegen die von mir oben gepostete Sicherheitslücke. > Warum macht man einen VPN Tunnel und nicht einen SSH Tunnel? > Was ist der Unterschied zwischen VPN und SSH? SSH ist primär gedacht für den Zugriff auf eine Shell (das sagt ja schon der Name). Zusätzlich kann man aber auch noch TCP-Tunnel darüber routen. Das ist von der Bedienung her aber komplexer wenn Du mehr machen willst als Dein RDP. Nur für RDP auf einen Server könntest Du das einmal einrichten und gut. Wenn Du dann aber mal auf ne Laufwerksfreigabe zugreifen willst, auf nen anderen Server etc. dann ists komplexer. Bei nem richtigen VPN richtest Du das einmal ein und kannst dann auf alle Dienste im gesamten Zielnetz zugreifen. > Wenn ich auch an meinem Windows 8.1 Client eine feste IP hätte, könnte > ich im Server ja einstellen, dass er nur Verbindungen mit meiner Client > IP eingehen darf. Vergiss das ganz schnell wieder. IPs sind keine Authentifizierung. Jeder auf dem Weg vom Client zum Server kann die IP übernehmen. Und jeder, der per BGP die IPs übernehmen kann. > Da wir aber ja alle 24h ne neue IP vom Provider > erhalten wollte ich hier mal fragen, ob es denn auch möglich ist dies > durch DynDNS Dienste (also per Name wie z.B. > "meinserver.dyndnsdienst.de" zu umgehen? Wenn Du eine Firewall mit DynDNS kombinierst, vergrößerst Du den Kreis derjenigen, die das knacken können, wesentlich. Stichwort DNS spoofing oder DNS cache poisoning. Dazu noch Schwachstellen beim Dyndns-Dienst. Nochmal: Was hast Du denn für einen Router im Einsatz? Ist hinter dem Router noch ne separate Firewall vorhanden? Wenn ja, was für ein Modell?
Danke Gerd, ich habe ne Fritzbox 7390, dort gibt es den Punkt: ...Internet > Freigaben > VPN-Verbindungen einrichten Meine Frage ist auch, ist die Sicherheit pauschal durch die RDP-Geschichte gefährdet oder nur in dem Moment, in dem man verbunden ist. Ich bin pro Woche nur ca. 20 Min verbunden, d.h. wenn der Server ohne meine direkte Verbindung sicher im Netz ist, wäre die Gefährdung durch mein Login ja doch eher gering. Natürlich würde ich noch folgende Dinge beachten: -sicheres Passwort -RDP-Port wechseln -low thresholds (3 Versuche) + reset period (30min) -idle timeouts for unused connections
Ops, sorry ich hatte deine Antwort noch nicht gelesen!
Sabine schrieb: > ich habe ne Fritzbox 7390, dort gibt es den Punkt: > ...Internet > Freigaben > VPN-Verbindungen einrichten Gut. Das ist ein IPSec mit PSK. Wenn das nur ein oder 2 Leute benutzen ist das kein Problem und sicher wenn Du den Aggressive Mode abschaltest (statt dessen Main Mode verwenden). Bei dynamischen IPs auf der Gegenseite können halt alle Gegenseiten immer nur den selben PSK verwenden, daher das Limit auf 1 oder 2 Leute. Schau Dich nach ner Anleitung für VPN-Clients mit Fritzboxen um, da gibt es sicher was. Achte wie gesagt nur darauf, daß die das im Main Mode zeigen und nicht im Aggressive Mode. > Meine Frage ist auch, ist die Sicherheit pauschal durch die > RDP-Geschichte gefährdet oder nur in dem Moment, in dem man verbunden > ist. Solange das Portforwarding konfiguriert ist. Also im Grunde immer. Die Angriffsmöglichkeiten haben nichts damit zu tun wann Du das RDP nutzt und wann nicht.
Sabine schrieb: > -RDP-Port wechseln Das ist hinter nem VPN unnötig. Richte Dein VPN ein. Und dann lösche alle Portforwardings in Deiner Fritzbox. Und dann mach regelmäßig Firmwareupdates von Deiner Fritzbox. Dann sollte es passen.
Habt Ihr eine gute und konkrete 1-2-3 Anleitung zu folgenden Punkten -1.Wie muss ich die RDP-Verknüpfung korrekt aufsetzen (mit Sicherheitseinstellungen) -2.Wie muss ich VPN incl. IPsec installieren / einrichten. Am Besten wäre für mich eine Portable Version auf einem Stick, so dass ich auch von überall aus auf den Server zugreifen kann. Schön wäre auch die Möglichkeit vom Android Smartphone aus auf den Server zuzugreifen.
Ich glaube, ich habe hier eine ganz gute Anleitung gefunden: http://openbook.galileocomputing.de/windows_server_2012r2/14_004.html Nur muss ich die VPN-Funktionalität am Server als Benutzer oder Admin einrichten?
Ich habe nun RAS bzw. VPN am Windows Server 2012 angelegt und auch nichts in den Routing und RAS Settings geändert. Dies habe ich nach folgender Anleitung gemacht: http://www.anleitungen.lars-bronsert.de/?page_id=6978 (Installation + Konfiguration + User Zugriff) Hier der Aufbau meines Netzwerks Windows Server VPS mit fester öffentlicher IP -- Internet -- Fritzbox -- mein PC Mein aktuelles Problem ist, dass ich den VPN-Tunnel nicht aufbauen kann (Fehler 807 bzw. 809) Ich habe nun folgende Fragen / Anmerkungen: Evtl. ist der Grund dafür, dass es nicht funktioniert hier gleich ersichtlich. 1)Auf dem Server: a) Auf dem Windows Server 2012 habe ich in der Firewall Haken gesetzt bei Allowed apps "Routing and Remote Access" (und dann noch bei Privat und Public) ...ich habe die Ports aber nicht explizit freigeschalten, da ich dachte, dass das mit dem Punkt allowed Apps automatisch funktioniert b) Muss ein Adresspool auf dem Server angelegt werden, so dass der Client PC (Windows 8.1) bzw. dessen "IPv4 Schnittstelle der angelegten VPN Verbindung" eine IP beziehen kann? Der Client PC an sich hat in meinem Netz eine feste IP 192.168.0.88. Benötigt die VPN Verknüpfung auch eine? Denn da ist die IP und DNS auf "automatisch beziehen" eingestellt. Doch wie soll die virtuelle VPN Schnittstelle eine IP beziehen wenn der Server keine liefert? 2)Einstellungen auf dem Client a) Unter Sicherheit habe ich nur PPTP gewählt und Datenverschlüsselung "optional" und bei Authentifizierung "nichts" ...unter Netzwerk ist bei IP-Adressen automatisch beziehen und DNS automatisch beziehen aktiv c) In meiner Fritzbox habe ich Port 1723 (TCP) und GRE für meinen PC freigegeben. Gibt es nun eine Möglichkeit, wie ich wieder auf meinen Server komme, wenn ich da jetzt noch was ändern muss?
Warum das VPN mit dem Windows Server keine gute Idee ist, habe ich Dir oben glaube ich schon ausführlich genug erklärt. Warum nimmst Du nicht einfach Google und gibst da z.B. ein "fritzbox vpn client"? Da kommst Du ganz einfach auf diese Beschreibung hier: https://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/15729.php?portal=VPN Die gehst Du Stück für Stück durch. Dann hast Du erst mal ein VPN mit Aggressive Mode. Das hat kein PFS (https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy) und sollte daher durch den Main Mode ersetzt werden. Also wieder zu Google, "fritzbox vpn main mode" eigeben und dort nachschauen wie man die Fritzbox auf den Main Mode umschaltet. Jetzt noch im Client den Dropdown von Aggressive Mode auf Main Mode umschalten und fertig. War das jetzt so schwer?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.