Frage:
Wie sicher ist RDP?
prot
2016-08-09 14:09:29 UTC
view on stackexchange narkive permalink

Ich habe eine Art Konflikt mit dem Security Lead Engineer meines Unternehmens. Er sagt, dass Remote Desktop Protocol (RDP) nicht sicher genug ist und wir stattdessen TeamViewer verwenden sollten. Wir verwenden RDP nicht nur für den Zugriff auf lokale Ressourcen in unserem Unternehmensnetzwerk, sondern auch für den Zugriff auf Ressourcen (unter Windows 2012+) beim Cloud-Hosting.

Wie sicher ist die Verwendung von RDP in beiden Szenarien?

Wie wird RDP verwendet (oder vorgeschlagen, verwendet zu werden)?Das Öffnen von Port 3389 mit Blick auf das Internet auf allen Produktionsservern und das tägliche Aufrufen ist eine schlechte Idee für die Sicherheit.Es gibt viele Optionen in Windows, um RDP effektiver zu machen. Die Antwort darauf, wie sicher eine RDP-basierte Cloud-Hosting-Remoteverwaltungsmethode ist, lautet: "Vielleicht".
TeamViewer ist viel, viel weniger sicher als RDP.Mit einem richtig konfigurierten RDP-Setup können Sie ein ziemlich sicheres System haben, aber mit TW werden Ihre Systeme kompromittiert [wenn ** sie ** einen Fehler machen] (http://www.theregister.co.uk/2016/06)/ 01 / teamviewer_mass_breach_report /).
Ich würde Teamviewer niemals als RAS-Lösung zulassen.RDP in einem VPN
In den meisten Cloud-Anbietern wie Azure und AWS können Sie Sicherheitsgruppen einrichten und nur RDP-Datenverkehr von iOS auf der Whitelist zulassen
Eines der Probleme mit TW, das RDP standardmäßig verhindert, ist: "Wer bewegt meine Maus?";)
Entschuldigung, aber wie kommt eine solche Person an einen Ort im Leben, an dem sie den Titel "Security Lead Engineer" trägt?Haben sie eine Verlosung gewonnen?
@underscore_d Nicht im Zusammenhang mit der Frage ... aber angeblich waren sie Mitglied eines Sicherheitsteams und wurden zum Teamleiter befördert oder direkt als Teamleiter eingestellt.Genau wie bei jedem anderen Job auf der Welt.
@TylerH und wie haben sie überhaupt eine Position in diesem Sicherheitsteam bekommen (und sie nicht verloren)?
@underscore_d Wir wissen immer noch nicht, wie das Netzwerk von prot organisiert war.Der Sicherheitsleiter könnte Einwände gegen die Bereitstellung eines RDP-Servers für das Internet erheben, nicht gegen die Verwendung von RDP selbst.
@enkryptor, aber inwiefern würde das Ersetzen von RDP durch TV die Dinge verbessern, wenn nicht sogar noch viel schlimmer?Der Fernseher zeigt immer noch bekannte Anschlüsse, oder?und ist ein MITM?und hatte Pannen in der letzten Erinnerung?und bedeutet [der Computer, mit dem Sie eine Verbindung herstellen, wird verlassen, während Ihre Sitzung entsperrt und öffentlich zugänglich ist und jedem zur Verfügung steht, der den Bildschirm einschalten möchte] (http://security.stackexchange.com/a/133468)/ 81253)?Wenn das OP Details hat, die dies vernünftig erscheinen lassen, dann könnte dies im Nachhinein als eine sehr gut begründete Entscheidung herausgestellt werden ... aber ich sehe es einfach nicht so, wie es ist
@underscore_d "TV legt immer noch bekannte Ports frei, oder?"- Nein, sein Client arbeitet über den Server.Keine Notwendigkeit, Listening-Ports zu öffnen
Wirklich TV ist für die Bereitstellung von IT-Support für Workstations für Personen aus der Ferne vorgesehen.Es ist ziemlich gut dafür und sehr praktisch, dass die Person, der Sie helfen, mit Ihnen chatten und den Bildschirm sehen kann, während Sie Support leisten.Darauf würde ich das Fernsehen beschränken.Für die Remote-Anmeldung bei Servern, wie andere gesagt haben, ist RDP über VPN eine viel bessere Lösung.
Wenn Sie keinen Überwachungsport für RDP öffnen möchten, können Sie über eine umgekehrte Verbindung (z. B. einen umgekehrten SSH-Tunnel) eine Verbindung zum Computer herstellen.
RDP über SSH (Ich verwende dies von Linux aus, um remote auf Windows- und Linux-Boxen zuzugreifen).
Zehn antworten:
symcbean
2016-08-09 16:18:02 UTC
view on stackexchange narkive permalink

Ich glaube, dass Teamviewer ein Proxy-Dienst für getunnelte VNC-Verbindungen ist. Daher besteht die erste Sicherheitsüberlegung in Bezug auf diesen Dienst darin, dass er by design MITM'ed ist. Es gab Hinweise darauf, dass der Dienst vor ein paar Monaten kompromittiert wurde.

(Beachten Sie, dass VNC zwar Verschlüsselung verwendet, der gesamte Austausch jedoch standardmäßig nicht gekapselt ist - aber es ist Das Einrichten eines SSL / SSH / VPN-Tunnels ist trivial.

Die nächste Überlegung ist, dass Software von Drittanbietern auf Ihren Systemen installiert wird. Wenn Sie jedoch eine Microsoft-Plattform ausführen, wird bereits Software ausgeführt von mehreren Anbietern, die wahrscheinlich nicht von Ihrer Patch-Management-Software abgedeckt werden; Die Aktualisierung der Software ist eines der effektivsten Mittel zum Schutz Ihrer Systeme.

Solange Ihre RDP-Verbindung SSL verwendet, sollte sie mindestens so sicher sein wie Teamviewer und IMHO also.

Woher wissen Sie, ob RDP TLS verwendet?(Ich nehme an, Sie meinten TLS anstelle von tatsächlichem SSL.)
Ja, TLS.Die Tunnelverbindung verwendet standardmäßig Port 443 (RDP im alten Stil verwendet 3389 aus dem Speicher).Es gibt auch eine Option bei der Konfiguration des Servers.
RDP verwendet eine TLS-Verbindung, wenn der Server mit einem Zertifikat konfiguriert ist (Windows Server 2012 und höher verwenden standardmäßig ein selbstsigniertes Zertifikat, Desktop-Windows nicht IIRC), selbst an Port 3389.
@TheD RDP auf Desktop-Versionen von Windows verwendet ebenfalls TLS, allerdings mit selbstsignierten Zertifikaten (sofern nicht einer Domäne beigetreten).
@symcbean Sie können TeamViewer im lokalen Modus ausführen. In diesem Fall stellen Sie eine Verbindung über eine IP-Adresse her, anstatt eine "TeamViewer-ID" zu verwenden und über deren Server zu springen.Ich benutze es die ganze Zeit über VPNs (und auch in LANs ohne Internetverbindung).Ändert das überhaupt einen Ihrer Punkte?
@JasonC Es reduziert TeamViewer einfach auf einen RDP / VNC-Klon, mit allen Nachteilen, die RDP hat, sowie der Drittanbieter-Natur von TeamViewer (eine weitere vertrauenswürdige Partei).
H. Idden
2016-08-10 00:24:38 UTC
view on stackexchange narkive permalink

Bearbeiten: Den Kommentaren zufolge scheint es in der Enterprise Edition von TeamViewer eine Kombination von Konfigurationsoptionen zu geben, die meine Bedenken verringern könnten. Da ich diese noch nie benutzt habe, kann ich keine Einschätzung darüber abgeben und wie gut sie funktionieren. Laut den Kommentaren könnte es sich um eine fehlerhafte Lösung handeln.

Ich bin ein Serveradministrator (Windows und Linux) und würde jeden Versuch, TeamViewer auf den Servern zu installieren, aus folgenden Gründen blockieren:

  • Alle Daten werden über einen vertrauenswürdigen (?) Server eines Drittanbieters übertragen. Dies erfolgt im Internet. Warum sollte ich ihnen vertrauen? Sind Sie sicher, dass es keine Sicherheitslücke gibt, durch die jemand auf dem Datenpfad die Systeme angreifen kann? Vertraue ich darauf, dass ihre Server nicht kompromittiert werden?
  • Dies hängt vom Internet ab: Netzwerk- / Internetprobleme deaktivieren eher die Möglichkeit, die Systeme remote zu verwalten.
  • Dritt- Closed-Source-Software von Parteien mit proprietärem (undokumentiertem?) Protokoll: Soll ich ihnen vertrauen und dass ihr Protokoll sicher ist?
  • Ich weiß nichts über die Benutzer- / Rechteverwaltung für TeamViewer, aber dies könnte auch ein Problem sein. Soweit ich weiß, zeigt TeamViewer den Bildschirm des aktuell angemeldeten Benutzers an, der Probleme mit Audits (welche Person hat eine bestimmte Aktion ausgeführt?) Und Benutzerrechten (die verbindende Person erhält die Rechte des zuvor verbundenen Benutzers) verursachen kann. Ich hoffe, jeder hat seinen eigenen Benutzer auf dem Server und verwendet nicht denselben (vielleicht sogar Administrator!) Benutzer.

Für mich gibt es zu viele rote Fahnen.

Unsere Server befinden sich in einem isolierten Subnetz, in dem die Firewall / der Switch nur vorkonfigurierte Ports zulässt und Benutzer mit ihrem Benutzernamen / Passwort eine VPN-Verbindung zu diesem Subnetz herstellen können. Wir verfolgen einen Tiefenverteidigungsansatz : Nur bestimmte Gruppen erhalten die Berechtigung, mit ihrem Benutzer eine Verbindung zum VPN herzustellen. Innerhalb des VPN können sie RDP oder SSH verwenden. Sollte es eine Sicherheitslücke in RDP geben, müsste der Angreifer zuerst auf VPN oder LAN zugreifen. Dies würde bedeuten, dass sie entweder unsere IT-Mitarbeiter sind (denen ein Unternehmen bis zu einem gewissen Grad vertrauen muss), Zugriff auf VPN oder physischen Zugriff erhalten oder einen der Server hacken. Physischer Zugriff bedeutet, in das Rechenzentrum einzubrechen. In diesem Fall gibt es größere Sorgen. Gleiches gilt für jemanden, der auf dem Postweg ist. Wenn sie einen der Server verletzen, benötigen sie auch eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen, um anzugreifen, da sie gesperrte Konten sind. Für den VPN-Zugriff würde er eine Sicherheitslücke im VPN benötigen oder das Konto einer Person mit VPN-Berechtigungen erhalten.

Und das alles nur für den Fall, dass eine RDP-Sicherheitsanfälligkeit vorliegt. Höchstwahrscheinlich würde nur ein Angreifer, der als fortgeschrittene dauerhafte Bedrohung ( APT) eingestuft ist, dh jemand, der ausgefeilte Techniken verwendet, um Ihr spezifisches System bei einem anhaltenden Angriff anzugreifen, einen 0-Tage-Exploit haben für RDP und es ist wahrscheinlicher, dass ein solcher Angreifer einfachere Methoden / Schwachstellen in anderer Software verwenden kann.

Viele dieser Punkte verschwinden, wenn Sie TeamViewer im lokalen Modus ausführen.In diesem Fall stellen Sie eine IP-Verbindung anstelle einer ID-Nummer her und berühren niemals deren Server (funktioniert auch über ein LAN ohne Internetverbindung).
@JasonC Ich habe diese Funktion noch nicht gesehen.Ich muss das überprüfen.Dies würde einige dieser Punkte ändern.Das Problem mit der Überprüfungsfähigkeit und der Tatsache, dass Sie den Bildschirm / Benutzer so erhalten, als wäre er vom letzten übrig geblieben, bleibt jedoch bestehen (kann je nach Unternehmen ein Problem sein oder auch nicht).
Die Verwendung des "lokalen Modus" ist nicht offensichtlich.Auf der Serverseite gehen Sie zu Extras -> Optionen -> Allgemein und wählen Sie "Exklusiv akzeptieren" für "Eingehende LAN-Verbindungen".Seltsamerweise wird die Benutzeroberfläche manchmal fehlerhaft, und Sie müssen dies auch auf der * Client * -Seite tun, um IP-Adressen anstelle von IDs einzugeben (was der Liste der vertrauensbrechenden TV-Macken hinzugefügt wird).Die Client-Seite kann sich in neueren Versionen besser verhalten.
Bis zu Ihrem letzten Punkt verfügt TV über Unternehmenssoftware, um all dies zu steuern.Es ist also nicht wirklich ein Punkt
@Insane danke für die Information.Diese Funktion wurde hinzugefügt, nachdem ich TeamViewer das letzte Mal ausführlicher überprüft habe.
Danke für alle Kommentare.Ich habe die Informationen zur Antwort hinzugefügt.
SilverlightFox
2016-08-10 14:34:56 UTC
view on stackexchange narkive permalink

Zusätzlich zu den anderen großartigen Antworten bietet TeamViewer weniger physische Sicherheit, da der Bildschirm entsperrt werden muss, um eine Remote-Sitzung zu ermöglichen.

Das heißt, jeder, der an einer Tastatur und einem Monitor von vorbeigeht Eine remote verwaltete Sitzung kann sie beobachten und möglicherweise die Sitzung übernehmen, falls der Remotebenutzer nicht darauf achtet.

Hinweis: Nach der Installation eines Displays scheint es möglich zu sein, den Bildschirm auszublenden Dies muss jedoch für jede Verbindung erfolgen, wobei ein Zeitfenster verbleibt.

Außerdem vertrauen Sie jetzt eher auf die Sicherheit des Ausblendens des TeamViewer-Bildschirms als auf die Sicherheit des Windows-Sperrbildschirms. Stellen Sie dies sicher Sie fühlen sich damit wohl.

Von all den guten Punkten gegen das Fernsehen hier könnte dies derjenige sein, der herausspringt und am eklatantesten schreit: "Vermeide wie die Pest".Ich weiß nicht, ob ich lachen oder weinen soll.
@underscore_d Denken Sie daran, dass dies in einigen Szenarien, wie z. B. Remote-Support, absichtlich gewünscht wird: Wenn der Benutzer auf der anderen Seite (mehr oder weniger) sehen kann, was Sie tun, ist dies für ihn beruhigendermacht es weniger wahrscheinlich, dass sie versuchen zu behaupten, dass Sie während Ihrer Support-Sitzung etwas Schädliches getan haben.
Daniel Bungert
2016-08-09 21:04:22 UTC
view on stackexchange narkive permalink

Zunächst weiß ich nichts über TeamViewer, daher werde ich nicht versuchen, dies zu kommentieren.

Historische RDP-Server verwendeten "RDP-Sicherheit", ein in der Tat fehlerhaftes Protokoll, das für MITM anfällig ist. Tu das nicht. Sogar 2003r2 kann TLS für RDP ausführen, daher gibt es keinen modernen Grund, warum Sie gezwungen sein sollten, RDP-Sicherheit zu verwenden.

Moderne Server unterstützen TLS, sodass die Sicherheit von RDP in direktem Zusammenhang mit der Sicherheit von TLS steht. Mit Registrierungs-Tweaks können Sie eine Teilmenge von TLS erzwingen, die Sie möchten - auf 1.2 erzwingen, auf bestimmte Cipher Suites beschränken, möglicherweise auf andere Dinge.

Außerdem gibt es hier einen RDP-spezifischen Winkel, den der Server einschränken kann Verbindungen nur zu denen, die "Authentifizierung auf Netzwerkebene" unterstützen. NLA verwendet weiterhin TLS. Es handelt sich lediglich um eine Protokolländerung, um die Authentifizierung früher im Austausch durchzuführen. Ich glaube, dies soll vor einem Denial-of-Service-Angriff schützen, bei dem nicht authentifizierte Benutzer wiederholt versuchen, eine Verbindung ohne Authentifizierung herzustellen.

Wenn Sie eine RDP-TLS-Sitzung mit NLA entschlüsseln und verfolgen, wird Folgendes angezeigt:

  • X.224 Exchange, unverschlüsselt, 1 Paket in jede Richtung, um festzustellen, ob Client und Server miteinander kommunizieren können NLA
  • TLS-Handshake
  • NLA-Austausch (wirklich [MS-CSSP]) zur Durchführung der Authentifizierung
  • Normaler RDP-Protokollaustausch gemäß [MS-RDPBCGR]
Vielleicht möchten Sie auch darauf hinweisen, dass das Erzwingen von TLS 1.2 andere Dinge beschädigen kann (nämlich SQL Server).Dies ist eine gute Sicherheitsmaßnahme, aber seien Sie vorsichtig, wenn Sie sie aktivieren.
@cybermonkey Breaking Software, die TLS 1.2 nicht unterstützt, ist eine * gute Sache *: P.
Rory McCune
2016-08-09 21:32:18 UTC
view on stackexchange narkive permalink

Angenommen, Sie verwenden eine moderne Version von RDP und konfigurieren sie korrekt (z. B. NLA aktivieren, ordnungsgemäße Zertifikate sortieren), besteht das Hauptrisiko, sie direkt dem Internet zugänglich zu machen, in der Regel darin, eine Authentifizierung mit Benutzername / Kennwort bereitzustellen System zum Internet, dh Sie erlauben Angreifern, zu versuchen, Active Directory-Konten brutal zu erzwingen (vorausgesetzt, es handelt sich um eine AD-Umgebung und nicht um eine Reihe eigenständiger Server).

Dies ist nicht der Fall. Dies ist nicht besonders gut, da Sie entweder ein DoS-Risiko mit festgelegter Kontosperrung oder das Risiko eines nicht autorisierten Zugriffs ohne festgelegte Kontosperrung haben (jemand wählt immer ein schwaches Kennwort oder verwendet ein Kennwort, das an anderer Stelle verletzt wird). Wenn Sie also RDP verfügbar machen Direkt würde ich Benutzern, die über diesen Mechanismus Zugriff erhalten, eine Zwei-Faktor-Authentifizierung empfehlen.

Bei TeamViewer besteht kein Risiko eines direkten Zugriffs, aber Sie vertrauen ihnen als Organisation und wurde durch andere Antworten darauf hingewiesen, dass sie Sicherheitsbedenken hatten tly.

Jean-Bernard Pellerin
2016-08-11 22:53:05 UTC
view on stackexchange narkive permalink

Ich werde auf Daniel Bungerts Erklärung der beteiligten Protokolle und warum sie zusammenarbeiten, eingehen. Nachdem ich einen MitM-Proxy für RDP geschrieben habe, bin ich mit dem Innenleben der meisten beteiligten Protokolle sehr vertraut. (Mehr als ich gerne wäre ...)

Sie können es so konfigurieren, dass es nur über TLS funktioniert. Dies bietet eine große Sicherheit für sich. Jede Nachricht ist mit TLS-Verschlüsselung versehen. Sie können Gruppenrichtlinien verwalten, mit denen die zulässigen TLS-Verschlüsselungsprotokolle festgelegt werden. Sie können dies verwenden, um nur diejenigen mit Schlüssellängen oder Algorithmen anzugeben, die Sie für geeignet halten. Dies sind allgemeine Windows-Einstellungen und nicht rdp-spezifisch. Ihre einzige Sorge wären Benutzer, die schlechte Zertifikate akzeptieren. In diesem Fall ist ein MitM-Angriff möglich.

Sie können es jedoch weiter konfigurieren, um nur mit NLA-Authentifizierung zu arbeiten. Insbesondere wird CredSSP mit NTLM verwendet. Dies verhindert MitM, da das in der TLS-Schicht verwendete Zertifikat (zusammen mit anderen Dingen) zum Verschlüsseln des Kennworts verwendet wird. Sie können das verschlüsselte Kennwort dann nicht mehr nur weiterleiten, da der Ziel-RDP-Dienst keinen Hash authentifiziert, der mit einem anderen als dem eigenen Zertifikat generiert wurde. Der Grund, warum mein Mitm funktioniert, ist, dass wir die Passwörter kennen, die für die Verbindung zum Proxy verwendet werden, und damit Informationen extrahieren und einen neuen Hash für den Ziel-RDP-Dienst generieren können. Ein böswilliger rdp-Proxy hat diesen Vorteil nicht.

Wenn also sowohl TLS als auch NLA konfiguriert sind, ist rdp vor Benutzern sicher, die möglicherweise schlechte Zertifikate akzeptieren. Dies wirkt Overminds Bedenken hinsichtlich Mitm-Angriffen entgegen.

Criggie
2016-08-11 02:23:03 UTC
view on stackexchange narkive permalink

Ich würde mit einer Art VPN vom Remotecomputer des Benutzers zu einer Firewall bei der Arbeit gehen und dann RDP über diese verschlüsselte Verbindung ausführen.

Das Problem beim Offenlassen eines Ports besteht darin, dass dies letztendlich der Fall ist gefunden, und Sie haben Brute-Force-Anmeldeversuche. Entweder verlangsamt dies nur Ihre Umgebung, oder es führt dazu, dass Konten gesperrt werden, oder sie finden einen Benutzernamen mit einem schwachen Passwort (es gibt immer einen Benutzer ...)

Sie können 2 erkunden Faktorauthentifizierung mit Smartphone-Apps, Hardware-Token oder vorgedruckten Einmalkennwörtern.

Denken Sie daran, Sicherheit ist das Gegenteil von Komfort.

coteyr
2016-08-13 01:22:15 UTC
view on stackexchange narkive permalink

Dies begann als Kommentar.

Es ist wichtig, auf die Frage "Wer ist schuld?" hinzuweisen. Wenn Sie einen Dienst eines Drittanbieters verwenden und dieser nicht bereitstellt, wird er nicht bereitgestellt. Wenn Sie etwas im Haus verwenden und es fehlschlägt, ist es jetzt die Schuld des Hauses. Solche Unterscheidungen haben viel Gewicht. Es bedeutet vielleicht nichts für die tatsächliche Sicherheit, aber das kann manchmal an die Seitenlinie gehen.

Wenn Sie beispielsweise eine Zertifizierung für einen Vertrag benötigen und diese Zertifizierung Folgendes bewirkt:

Sie müssen sichere Remoteverwaltungsmethoden verwenden, unverschlüsselte Remoteverwaltung Methoden sind nicht erlaubt. Verträge mit Dritten zur Erbringung von Dienstleistungen sind zulässig. Die Verschlüsselung muss den Anforderungen an Stärke und Balken entsprechen. Allgemeine Dienste, die diese Anforderungen erfüllen, sind LogMeIn und TeamViewer. Allgemeine Dienste, die diese Anforderungen nicht erfüllen, sind GoToMyPC und einfaches VNC.

Dann könnte die Entscheidung getroffen werden, Team Viewer zu verwenden.

Dann besteht das Risiko für das Unternehmen. Es könnte argumentiert werden, dass Teamviewer ein geringeres Risiko darstellt, da Sie einen Dienst in gutem Glauben nutzen, der sicher sein soll. Gleichzeitig kann RDP ein größeres Risiko darstellen, da Sie jetzt das Wissen Ihres Teams gegen das Verständnis zufälliger Personen stellen.

Obwohl dies keine wirkliche Verbindung zur wirklichen Sicherheit hat, ist es wichtig zu bedenken, dass Unternehmen keine Sicherheit betreiben, weil sie damit (normalerweise) Geld verdienen. Sie tun dies als Risikominderung und weil sie weiterhin Geld verdienen müssen. Durch die Verwendung eines Drittanbieter-Dienstes kann ein Teil des Risikos für das Unternehmen beseitigt werden.

Ich habe genau dieses Gespräch mit meinem CIO über mehrere Themen geführt.Obwohl sie anerkennt, dass die von unserem Team vorgeschlagenen Lösungen wahrscheinlich überlegen sind, ist der Wert der Verlagerung von Worst-Case-Szenarien an Dritte aus Sicht der Geschäftsleitung mehr wert.
bshea
2016-08-10 22:07:38 UTC
view on stackexchange narkive permalink

Wie bereits erwähnt, sollten Sie nach Möglichkeit RDP + -Verschlüsselung verwenden. Ich habe jedoch keine Erwähnung grundlegender Sicherheitsmaßnahmen gegen Angriffe (brutal oder anderweitig) in den bereitgestellten Antworten gesehen.

JEDE Software / Ports, die für die Öffentlichkeit zugänglich sind, sind gescannt / gefunden werden. Zeitraum. RDP oder nicht. Verschlüsselung oder nicht. Wenn kein öffentlicher Zugriff erforderlich ist, warum sollte er dann zugelassen werden?

Das Erstellen und Verwalten einer auf IP-Blöcken basierenden Zulassungsliste kann zeitaufwändig und schmerzhaft sein (wenn viele Hosts darauf zugreifen), sollte es aber nicht sein übersehen. Sei es 1 IP oder Hunderte von separaten Netzwerk-IPs.

Sie haben einen Cloud-basierten Server erwähnt. So sollte beispielsweise unter AWS / ec2 eine EC2-Sicherheitsgruppe verwendet werden, um einige IPs oder Admin-Netzwerke zuzulassen und den Rest zu verweigern. Die meisten Anbieter haben ähnliche Methoden.

Punkt ist (und zusätzlich zu den Antworten): RDP wäre meine Wahl, aber nichts ist perfekt. Es wird noch unvollkommener, wenn Sie keine unerwünschten Netzwerke blockieren.

Siehe auch @Criggie Antwort zu: VPN -> auch eine andere sehr gute Option ..
Overmind
2016-08-09 17:05:58 UTC
view on stackexchange narkive permalink

Auf RDP können Sie einen MiTM-Angriff ausführen. Anschließend wird der gesamte Datenverkehr vom RDP-Server zum RDP-Client und zurück über unser MiTM-System geleitet. Aus diesem Grund wird es nicht als sicher angesehen.

Was Teamviewer betrifft, müssen Sie einem Drittanbieter vertrauen, was nicht die Option ist, für die sich viele entscheiden würden.

Was das Beste betrifft In diesem Fall sollten Sie Ihr eigenes zertifikatbasiertes VPN einrichten.

RDP verwendet Zertifikate zur Authentifizierung des Servers.Sie können MiTM nur angreifen, wenn Sie ungültige Zertifikate akzeptieren!
Es klingt also so, als ob das Anheften von Zertifikaten oder die Verwendung von RDP über ein VPN (was ist auch die vorgeschriebene Methode von TeamViewer, nein?) Sicher sein sollte.
@Josef Wie beängstigend ist die Warnung vor dem ungültigen Zertifikat, und werden die meisten Benutzer es erkennen und etwas tun oder es trotzdem akzeptieren?
Wenn Sie die Gruppenrichtlinien richtig konfigurieren und über eine interne Zertifizierungsstelle verfügen, die die Zertifikate signiert hat, ist keine Nachricht zu akzeptieren. Sie funktioniert nur mit gültigen Zertifikaten und nicht mit anderen.So wird das in einem Unternehmen gemacht.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...