Ich bin ein Entwickler mit geringen Administratorkenntnissen und verwalte einen einzelnen dedizierten Webserver remote.
Eine kürzlich durchgeführte unabhängige Sicherheitsüberprüfung unserer Site empfahl, „RDP nicht dem Internet auszusetzen und für den Fernzugriff eine robuste Verwaltungslösung wie ein VPN in Betracht zu ziehen. Bei Verwendung sollte RDP für die Serverauthentifizierung konfiguriert werden, um sicherzustellen, dass Clients keinen Man-in-the-Middle-Angriffen ausgesetzt werden können.“
Nachdem ich ein bisschen herumgelesen habe, scheint es, dass die Authentifizierung auf Netzwerkebene eine gute Sache ist, also habe ich die Option "Mit NLA nur Verbindungen vom Remotedesktop zulassen"-Option auf dem Server heute.
Reicht diese Maßnahme aus, um das Risiko eines Man-in-the-Middle-Angriffs zu verringern? Oder gibt es noch andere wichtige Schritte, die ich unternehmen sollte? Wenn ein VPN unerlässlich ist, wie gehe ich vor?
Antwort1
Du solltest wirklichnichtRDP steht der Welt offen, auch wenn NLA aktiviert ist. NLA reduziert zwar MITM-Angriffe, aber wenn Sie das standardmäßige selbstsignierte Zertifikat für den RDP-Zugriff verwenden, sind Sie nicht allzu sicher.
Einer der Hauptgründe, warum Sie RDP nicht für alle offen lassen sollten, ist die Verhinderung automatisierter Versuche, Passwörter zu knacken. Wenn Sie RDP von internetbasierten Schnittstellen entfernen, können Sie zufällige, automatisierte Brute-Force-Angriffe vollständig abschwächen. Die Einrichtung eines VPN für den Fernzugriff ist sowohl sehr empfehlenswert als auch sinnvoll.
Es gibt viele Möglichkeiten, ein VPN zu implementieren. Windows verfügt beispielsweise über ein integriertes IPSEC-VPN. OpenVPN Access Server ist für bis zu zwei gleichzeitige Benutzer ebenfalls kostenlos, wenn Sie den SSL-VPN-Weg wählen möchten.
Wenn Sie sehr spezifische Anweisungen zum Einrichten eines VPN benötigen, müssen Sie die Optionen recherchieren, eine Technologie auswählen, die Dokumentation lesen und dann eine neue Frage mit etwaigen Bedenken oder Problemen bei der Implementierung öffnen. Die einfache Frage „Wie implementiere ich ein VPN?“ ist für Server Fault viel zu allgemein.
Antwort2
So wie ein Benutzer eine SSL-Warnung in seinem Browser einfach ignorieren kann, liegt die Vermeidung von Man-In-The-Middle-Angriffen weiterhin in der Verantwortung des Benutzers.
Mit dieser Änderung wird lediglich die Verbindung älterer Clients verhindert, die NLA (und die damit verbundene Serveridentitätsüberprüfung) nicht unterstützen.
Clients mit RDP Version 6 sind heute nicht mehr und nicht weniger anfällig für Angriffe als gestern – für einen erfolgreichen Man-In-The-Middle-Angriff reicht es aus, wenn der Benutzer ein Dialogfeld zur Serveridentität anklickt.
Antwort3
Nein, NLA ist darauf ausgelegt, die Angriffsfläche des Remotedesktopservers zu minimieren. Der Man-in-the-Middle-Schutz wird aktiviert, wenn Sie Ihre Remotedesktopserververbindung mit einem gültigen Zertifikat konfigurieren. Wenn Benutzer jedoch die Warnung ignorieren, die angezeigt wird, wenn der Server oder das Zertifikat nicht vertrauenswürdig oder gültig ist, können sie dennoch eine Verbindung zu einem feindlichen Remotedesktopserver herstellen, und diese Sicherheitsanfälligkeit hat nichts mit Ihrem Remotedesktopserver zu tun.
Aus:
Konfigurieren der Authentifizierung auf Netzwerkebene für Remotedesktopdiensteverbindungen
http://technet.microsoft.com/en-us/library/cc732713.aspx
„Die Authentifizierung auf Netzwerkebene führt die Benutzerauthentifizierung durch, bevor Sie eine Remotedesktopverbindung herstellen und der Anmeldebildschirm angezeigt wird. Dies ist eine sicherere Authentifizierungsmethode, die dazu beitragen kann, den Remotecomputer [Remotedesktopserver] vor böswilligen Benutzern und bösartiger Software zu schützen. Die Vorteile der Authentifizierung auf Netzwerkebene sind:
„Es erfordert zunächst weniger Remote-Computer-Ressourcen [Remote-Desktop-Server]. Der Remote-Computer verwendet eine begrenzte Anzahl von Ressourcen, bevor er den Benutzer authentifiziert, anstatt wie in früheren Versionen eine vollständige Remote-Desktop-Verbindung zu starten.
„Es kann zu mehr Sicherheit beitragen, indem es das Risiko von Denial-of-Service-Angriffen verringert.“