K
Knopper67
Gast
Hallo,
ich lese mich gerade etwas um das Thema RDP ein. Grundsätzlich ist klar, dass man keinen Windows Server direkt mit RDP am offnen Internet betreiben sollte. Oft wird daher scheinbar ein VPN als Best Pratice empfohlen. Sprich erstmal über eine VPN-Lösung zum Server verbinden und erst dann via RDP. Nun bin ich noch über die Funktion eines Desktop Services Remotedesktopgateway im Windows Server gestolpert.
Auf http://www.searchsecurity.de/tipp/Remote-Desktop-Protocol-RDP-Netzwerk-Endpunkte-richtig-absichern steht dazu: "Noch besser ist es, ein Gateway für Remote-Desktops zu schaffen: Dieses erlaubt Remote-Verbindungen über HTTPS, so dass RDP eine sicherere und verschlüsselte Verbindung zum Endpunkt aufbauen kann.".
Also statt, dass immer alls nur über RDP verschlüsselt und transportiert wird, wird als zusätzliche Schicht noch HTTPS bis zu dem Gateway verwendet. Was ich nun nicht ganz verstehe: wieso ist HTTPS da sicherer als RDP?
In RDP kann ich auch einstellen, dass TLS 1.0 immer verwendet wird. Und mittels NLA kann man laut einer Internetquelle auch Man in the middle Attacken (zumindest welche mit Cain and Abel begangen werden) verhindern.
Daher meine Frage: welche erhöhte Sicherheit habe durch den Einsatz eines Remotedesktopgateway im Vergleich zu einem normalen RDP-Zugang, welcher gehärtet ist (gehärtet im Sinne von TLS und NLA werden erzwungen, etc.).
Einzelne Vorteile führt Microsoft hier auf: https://technet.microsoft.com/en-us/library/cc731150.aspx
Bei Unternehmen kann ich es daher vollkommen verstehen. Mich würde das aber im Kontext von einem einzelnen Server bzgl. der Sicherheit interessieren.
EDIT//
https://security.berkeley.edu/resou...ring-remote-desktop-rdp-system-administrators
https://serverfault.com/questions/381184/how-to-secure-a-public-facing-remote-desktop-server
Ok, ein Vorteil ist wohl, dass bei Einsatzes eines Gateways der RDP-Port nicht direkt erreichbar ist, da er sich hinter dem Gateway versteckt und das Gateway nur über 443 erreichbar ist. Das macht dann natürlich schon einiges aus.
ich lese mich gerade etwas um das Thema RDP ein. Grundsätzlich ist klar, dass man keinen Windows Server direkt mit RDP am offnen Internet betreiben sollte. Oft wird daher scheinbar ein VPN als Best Pratice empfohlen. Sprich erstmal über eine VPN-Lösung zum Server verbinden und erst dann via RDP. Nun bin ich noch über die Funktion eines Desktop Services Remotedesktopgateway im Windows Server gestolpert.
Auf http://www.searchsecurity.de/tipp/Remote-Desktop-Protocol-RDP-Netzwerk-Endpunkte-richtig-absichern steht dazu: "Noch besser ist es, ein Gateway für Remote-Desktops zu schaffen: Dieses erlaubt Remote-Verbindungen über HTTPS, so dass RDP eine sicherere und verschlüsselte Verbindung zum Endpunkt aufbauen kann.".
Also statt, dass immer alls nur über RDP verschlüsselt und transportiert wird, wird als zusätzliche Schicht noch HTTPS bis zu dem Gateway verwendet. Was ich nun nicht ganz verstehe: wieso ist HTTPS da sicherer als RDP?
In RDP kann ich auch einstellen, dass TLS 1.0 immer verwendet wird. Und mittels NLA kann man laut einer Internetquelle auch Man in the middle Attacken (zumindest welche mit Cain and Abel begangen werden) verhindern.
Daher meine Frage: welche erhöhte Sicherheit habe durch den Einsatz eines Remotedesktopgateway im Vergleich zu einem normalen RDP-Zugang, welcher gehärtet ist (gehärtet im Sinne von TLS und NLA werden erzwungen, etc.).
Einzelne Vorteile führt Microsoft hier auf: https://technet.microsoft.com/en-us/library/cc731150.aspx
Bei Unternehmen kann ich es daher vollkommen verstehen. Mich würde das aber im Kontext von einem einzelnen Server bzgl. der Sicherheit interessieren.
EDIT//
https://security.berkeley.edu/resou...ring-remote-desktop-rdp-system-administrators
https://serverfault.com/questions/381184/how-to-secure-a-public-facing-remote-desktop-server
Ok, ein Vorteil ist wohl, dass bei Einsatzes eines Gateways der RDP-Port nicht direkt erreichbar ist, da er sich hinter dem Gateway versteckt und das Gateway nur über 443 erreichbar ist. Das macht dann natürlich schon einiges aus.
Zuletzt bearbeitet:
