Windows 10 -- RDP Zugang absichern

[Fx111]

Hallo,

ich habe einen VServer am laufen (Win 10), auf den per RDP zugegriffen werden soll. Aus Gründen muss der Standardport bleiben.
Ich habe aber den Zugriff (Scope) in der Firewall auf zwei bestimmte IPs beschränkt. Benutzeraccount hat ein sicheres Passwort. Unnötige Inbound Verbindungen sind sonst alle gesperrt. Sensible Daten sind auf dem VServer nochmal hinter einem VeryCrypt Container versteckt. Außerdem läuft der EvlWatcher.
VServer kann außerden aus dem Netz nicht angepingt werden

Reicht die Beschränkung auf die IP als Absicherung in diesem Fall?

 

[taeddyyy]

Du hast RDP 3389 nach außen hin offen?
Mutig.

Nach Angaben des National Cyber Security Centre des Vereinigten Königreichs ist RDP inzwischen der am häufigsten von Cyberkriminellen, insbesondere von Ransomware-Banden, genutzte Angriffsvektor.

https://de.darktrace.com/blog/remote-desktop-protocol-rdp-attack-analysis

RDP steht nicht gerade für Sicherheit, es reicht eine unbekannte Zero Day in deiner W10 VM und dein System gehört nicht mehr dir.

 

[Drewkev]

Aus Gründen muss der Standardport bleiben.

Heißt, bei dir ist 3389 praktisch für jeden offen? Das solltest du überdenken.

Reicht die Beschränkung auf die IP als Absicherung in diesem Fall?

Du könntest noch einen VPN zwischenschalten wodurch der VServer eh nur von intern erreichbar wäre.

 

[Fx111]

Ja, aber in der Firewall explizit nur für zwei bestimmte IP-Adressen. Für den Rest ist der Port zu. Hatte gehofft, das reicht aus.

 

[Drewkev]

Dennoch solltest du in meinen Augen den Server nur von intern erreichbar machen -> VPN.

 

[prian]

@Fx111
Trotzdem besser das mit einem VPN zum Router zu machen und der gibt das an den Server weiter.
Hatte ich bei einem Kunden so gelöst mit LANCom Router auf der Firmenseite und LANCom VPN-Tool auf der Clientseite.

 

[till69]

Ja, aber in der Firewall explizit nur für zwei bestimmte IP-Adressen

Windows Firewall oder schon davor?

 

[Redundanz]

Ja, aber in der Firewall explizit nur für zwei bestimmte IP-Adressen. Für den Rest ist der Port zu. Hatte gehofft, das reicht aus.

es reicht, wenn das statische public ips sind, tcp handshakes kann man ja schlecht ip spoofen...
wer dann aber diese zwei ips "besitzt"... der fällt dann natürlich wieder unter deinen verantwortungsbereich...

ansonsten, ob irgendwelche portscans oder sonstige verbindungsversuche jetzt auf der firewall auflaufen oder auf einer möglicherweise separaten vpn appliance ist dann auch egal. die hast du ja ganz unabhängig davon wie du es konfigurierst.

es steht und fällt mit der korrekten einrichtung der fw rules. daher prüfen!

und zum gedankenspiel wenn es dynamische ips wären... wär natürlich dann blödsinn es so einzurichten, weil es langfristig nicht funktioniert, aber aus sicherheitsperspektive auch mit 99.99% wahrscheinlichkeit vernachlässigbar, weil da muss schon viel passieren, dass ein bad actor erstens herausfindet welche 2 ips durchgelassen werden, zweitens, im entsprechenden segment des isps der diese ips vergibt liegt, drittens eine dieser ips dann auch zugeordnet bekäme...

 

[Fx111]

Es sind zwei dynamische IPs. Allerdings habe ich mir ein kleines Programm geschrieben, dass stündlich prüft, ob die beiden IPs aktuell sind. Wenn nicht, wird die Firewall-Regel direkt angepasst.
Rest der inbound-regeln habe ich alles blockiert.

 

[Redundanz]

wow das ist mal wirklich wild

 

[Fx111]

Warum? Erspart mir das manuelle Anpassen der Firewall-Regel. IPs ändern sich nur alle paar Tage. Server läuft auch nur wenn ich ihn brauche. Werde mir jetzt zusätzlich noch Duo als 2FA einrichten.