Windows Remotedesktop permanent von außen erreichbar -> Sicherheitsrisiko?

[sinkpäd]

Ich denke darüber nach, einen Win 7 Rechner, auf den des Öfteren per RDP aus dem internen Netzwerk zugegriffen wird, auch von außen erreichbar zu machen indem ich Port 3389 auf diesen Rechner weiterleite und eine dynamische DNS besorge.

Nun ist es ja so, dass wenn ein Angreifer beispielsweise einen IP-Adressen Bereich scannt und dabei feststellt dass auf meiner IP hinter Port 3389 das RDP lauscht, er ja schon mal bis zum Windows-Anmeldebildschirm kommt, wenn er die IP in den RDP Client von Windows eingibt. Die Frage ist nun, ob hier für das 0815 Scriptkiddie Schluss ist oder ob man sich ohne viel Aufwand auch Vollzugang verschaffen könnte, in dem man die Windows-Anmeldung hackt.

Auf dem Rechner sind keine sensiblen Daten, dennoch wäre es ärgerlich wenn jemand aus Spaß an der Freude relativ easy das ganze System sabotieren könnte.

Wie seht ihr das?

 

[st0rax]

1. nicht den standard port nehmen, stattdessen irgendwas im 5-6 stelligen bereich
Dann in der firewall router was auch immer den port von xxxxxxxx auf 3389 umleiten.
Der von außen zugängliche Port liegt dann außerhalb des normalen scanbereichs und wird somit wahrscheinlich eher nicht geprüft.
2. noch besser vpn

Wenn du nicht gerade ein 4stelliges passwort hast wird ein scriptkiddy sich da die zähne dran ausbeißen (außer natürlich es existieren lücken die diesem bekannt sind)

 

[Pupp3tm4st3r]

+1 st0rax

 

[Luxuspur]

1. nicht den standard port nehmen, stattdessen irgendwas im 5-6 stelligen bereich
Dann in der firewall router was auch immer den port von xxxxxxxx auf 3389 umleiten.

Sry, aber das hält scriptkiddies ab, aber keine Hacker ... portscans laufen automatisiert über die komplette range und das braucht nicht mal viel Zeit!

 

[st0rax]

wonach hat der ts gefragt?
Richtig, nach scriptkiddys.

 

[species_0001]

+1 st0rax

aber 2. zuerst. also per vpn in das Netzwerk und dann wie gewohnt per RDP

 

[sinkpäd]

Danke, das reicht mir eigentlich. Ich hatte bewusst nach Scriptkiddies gefragt da gegen einen Hacker in böser Absicht wohl ohnehin kein Kraut gewachsen ist bzw. dies einen unverhältnismäßig hohen Aufwand hinsichtlich der Abwehr erfordern würde.

 

[st0rax]

naja einfaches vpn sollte da mMn reichen, natürlich entsprechend konfiguriert.

 

[chrigu]

das ist ähnlich, wie wenn die wohnungstür zwar zu ist, aber ein zettel drannagelst, dass diese türe nicht abgeschlossen ist und du momentan nicht zu hause bist..

mein tipp: gar nicht "remoten" sondern wenn schon mit teamwiever, aber auch nur, wenn es ganz ganz ganz ganz wichtig ist, wenn der pc von aussen erreichbar sein muss... (z.b. wenn notfallnummern dort gespeichert sind, diese aber auf papier in der tasche feuer fangen...)

 

[iDont_Know]

was ist eig. mit dem VNC ?

 

[sinkpäd]

Ist das sicherheitstechnisch nicht auf einem Level mit RDP?

 

[iDont_Know]

Es gibt soo viele VNCs Typen
da gibt es doch sicher was sichers:
WiKi

ecurity

By default, RFB is not a secure protocol. While passwords are not sent in plain-text (as in telnet), cracking could prove successful if both the encryption key and encoded password are sniffed from a network. For this reason it is recommended that a password of at least 8 characters be used. On the other hand, there is also an 8-character limit on some versions of VNC; if a password is sent exceeding 8 characters, the excess characters are removed and the truncated string is compared to the password.

UltraVNC supports the use of an open-source encryption plugin which encrypts the entire VNC session including password authentication and data transfer. It also allows authentication to be performed based on NTLM and Active Directory user accounts. However, use of such encryption plugins make it incompatible with other VNC programs. RealVNC offers high-strength AES encryption as part of its commercial package, along with integration with Active Directory. Workspot released AES encryption patches for VNC. According to TightVNC,[12] TightVNC is not secure as picture data is transmitted without encryption. To circumvent this, it should be tunneled through a SSH connection (see below).

VNC may be tunnelled over an SSH or VPN connection which would add an extra security layer with stronger encryption. SSH clients are available for most platforms; SSH tunnels can be created from UNIX clients, Microsoft Windows clients, Macintosh clients (including Mac OS X and System 7 and up) – and many others. There are also freeware applications that create instant VPN tunnels between computers.

 

[st0rax]

in dem von dir zitierten absatz steht nur das man vnc tunneln kann.
Damit wird auf VPN bzw SSH hingewiesen.
Wenn man eh vpn einsetzt kann man sich die vnc geschichten sparen, vorallem weil ich damit immer schlechte performance hatte (einige jahre her).

Es kommt im Endeffekt nicht darauf an welches tool du benutzt um die verbindung aufzubauen, sondern wie diese verbindung abgesichert ist.

 

[leipziger1979]

Zusätzlich kannst ja noch einen SSH Tunnel oder VPN vorschalten um RDP doppelt abzusichern.

 

[sinkpäd]

Habe jetzt OpenVPN dazwischen. Dürfte sicher genug sein jetzt. Danke