Windows 10 -- RDP Zugang absichern

Fx111

Cadet 3rd Year
Registriert
Juni 2021
Beiträge
41
Hallo,

ich habe einen VServer am laufen (Win 10), auf den per RDP zugegriffen werden soll. Aus Gründen muss der Standardport bleiben.
Ich habe aber den Zugriff (Scope) in der Firewall auf zwei bestimmte IPs beschränkt. Benutzeraccount hat ein sicheres Passwort. Unnötige Inbound Verbindungen sind sonst alle gesperrt. Sensible Daten sind auf dem VServer nochmal hinter einem VeryCrypt Container versteckt. Außerdem läuft der EvlWatcher.
VServer kann außerden aus dem Netz nicht angepingt werden

Reicht die Beschränkung auf die IP als Absicherung in diesem Fall?
 
  • Gefällt mir
Reaktionen: Redundanz
  • Gefällt mir
Reaktionen: eigsi124 und MadDog
Fx111 schrieb:
Aus Gründen muss der Standardport bleiben.
Heißt, bei dir ist 3389 praktisch für jeden offen? Das solltest du überdenken.

Fx111 schrieb:
Reicht die Beschränkung auf die IP als Absicherung in diesem Fall?
Du könntest noch einen VPN zwischenschalten wodurch der VServer eh nur von intern erreichbar wäre.
 
  • Gefällt mir
Reaktionen: eigsi124, Asghan und Brati23
Ja, aber in der Firewall explizit nur für zwei bestimmte IP-Adressen. Für den Rest ist der Port zu. Hatte gehofft, das reicht aus.
 
@Fx111
Trotzdem besser das mit einem VPN zum Router zu machen und der gibt das an den Server weiter.
Hatte ich bei einem Kunden so gelöst mit LANCom Router auf der Firmenseite und LANCom VPN-Tool auf der Clientseite.
 
Fx111 schrieb:
Ja, aber in der Firewall explizit nur für zwei bestimmte IP-Adressen. Für den Rest ist der Port zu. Hatte gehofft, das reicht aus.

es reicht, wenn das statische public ips sind, tcp handshakes kann man ja schlecht ip spoofen...
wer dann aber diese zwei ips "besitzt"... der fällt dann natürlich wieder unter deinen verantwortungsbereich...

ansonsten, ob irgendwelche portscans oder sonstige verbindungsversuche jetzt auf der firewall auflaufen oder auf einer möglicherweise separaten vpn appliance ist dann auch egal. die hast du ja ganz unabhängig davon wie du es konfigurierst.

es steht und fällt mit der korrekten einrichtung der fw rules. daher prüfen!

und zum gedankenspiel wenn es dynamische ips wären... wär natürlich dann blödsinn es so einzurichten, weil es langfristig nicht funktioniert, aber aus sicherheitsperspektive auch mit 99.99% wahrscheinlichkeit vernachlässigbar, weil da muss schon viel passieren, dass ein bad actor erstens herausfindet welche 2 ips durchgelassen werden, zweitens, im entsprechenden segment des isps der diese ips vergibt liegt, drittens eine dieser ips dann auch zugeordnet bekäme...
 
  • Gefällt mir
Reaktionen: Helge01
Es sind zwei dynamische IPs. Allerdings habe ich mir ein kleines Programm geschrieben, dass stündlich prüft, ob die beiden IPs aktuell sind. Wenn nicht, wird die Firewall-Regel direkt angepasst.
Rest der inbound-regeln habe ich alles blockiert.
 
  • Gefällt mir
Reaktionen: Redundanz
wow :D das ist mal wirklich wild
 
Warum? Erspart mir das manuelle Anpassen der Firewall-Regel. IPs ändern sich nur alle paar Tage. Server läuft auch nur wenn ich ihn brauche. Werde mir jetzt zusätzlich noch Duo als 2FA einrichten.
 
Zurück
Oben