G-LO 10 Geschrieben 13. Oktober 2010 Melden Teilen Geschrieben 13. Oktober 2010 Hallo, ich weiß, Thema RDP und Sicherheit gab es zuhauf, allerdings habe ich meine momentan Fragen damit nicht beantworten können. Szenario: Unternehmen hat unheimlich viel Geld vor ein paar Jahren in die Hand genommen, um "sicher" surfen zu können. Die arbeiten im Finanzsektor und haben eine komplette Domäne inkl. Citrix Presentation Server nur für das "freie" Surfen installiert und verbinden sich nun mit dem Browser halt über den Citrix Client. D.H. also Hardware + Windows Lizenzen + Terminalserver Lizenzen + Citrix Lizenzen. Aufgrund von Umstrukturierungen stellt sich nun die Frage, ob das Ganze überhaupt noch so Not tut, vor allem, ob man nicht z.B. mindestens auf Citrix verzichten könnte. Den Terminalserver könnte man ja auf 2008 hochhieven (momentan 2003) und den Browser dann streamen. Hier wurde allerdings eingeworfen, dass RDP ja unsicher sei. Wie wahrscheinlich ist es denn, dass man sich den Terminalserver infiziert und damit auch seine Client PCs? Welche Infektionsmöglichkeiten bestehen denn da? Ist da überhaupt ein Infektionsrisiko und ist das höher als bei der citrix- Variante? Ich finde in Puncto Sicherheit + RDP immer nur, dass man den Dienst nicht "frei im Internet" zur Verfügung stellen sollte. Das wäre hier ja nicht der Fall, da es sich um 2 interne Netze handelt die halt ihren eigenen Bedürnissen halt abgesichert sind. Schonmal vielen Dank für etwaige Antworten. Zitieren Link zu diesem Kommentar
NilsK 2.961 Geschrieben 13. Oktober 2010 Melden Teilen Geschrieben 13. Oktober 2010 Moin, wer behauptet auf welcher Grundlage, dass RDP unsicher sei? Gruß, Nils Zitieren Link zu diesem Kommentar
G-LO 10 Geschrieben 13. Oktober 2010 Autor Melden Teilen Geschrieben 13. Oktober 2010 Hi, der damalige Consultant hat das behauptet und die Geschäftsführung hat es halt geglaubt. Wenn man ein wenig nachforscht, dann findet man ja auch einige Beiträge zu Sicherheitsmängeln betreffend RDP. Mir stellt sich aber die Frage, ob ich denn Sicherheitsmängel in meinem Szenario hätte, ob ich also einen Client über RDP verseuchen könnte, bzw ob das wahrschenlicher ist, als beim Einsatz von XenAPP. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Oktober 2010 Melden Teilen Geschrieben 13. Oktober 2010 Wenn man ein wenig nachforscht, dann findet man ja auch einige Beiträge zu Sicherheitsmängeln betreffend RDP. Und was genau hast du da jetzt wo gefunden? Zitieren Link zu diesem Kommentar
G-LO 10 Geschrieben 13. Oktober 2010 Autor Melden Teilen Geschrieben 13. Oktober 2010 Och, man findet hauptsächlich Beiträge zu einem Designfehler der ARP- Spoofing erlaubt. Freund Google bietet da zig Links, aber z.B. auch Heise. Allen voran z.B. 19 Sicherheitslücken in Windows-Komponenten und -Anwendungen geschlossen | heise Security Ein Update (MS09-044) für die Remotedesktopverbindung verhindert, das ein bösartiger RDP-Server sowie eine manipulierte Webseite Schadcode in den RDP-Client schleusen und ausführen können. und hier Kleiner Lauschangriff gegen Windows-Fernwartung | heise Security und auch hier: http://www.mcseboard.de/windows-forum-lan-wan-32/rdp-protokoll-sicher-84853.html Ich hatte hier auf eine Einschätzung der Problematik (mein oben grob umrissenes Szenario) von Experten bzw. IT- Verantwortlichen gehofft. Zitieren Link zu diesem Kommentar
NilsK 2.961 Geschrieben 13. Oktober 2010 Melden Teilen Geschrieben 13. Oktober 2010 Moin, du führst hier hauptsächlich Gerüchte an (auch der Thread aus diesem Board besteht nur aus Gerüchten und bezieht sich noch dazu auf einen Stand von vor vier Jahren) und verweist auf eine Sicherheitslücke, für die es erstens einen Patch gibt und die zweitens nur in ganz bestimmten, aufwändigen Szenarien ausnutzbar ist. RDP gilt mitnichten als "unsicher". Dabei ist aber insbesondere bei einem Vergleich immer der konkrete Anwendungsfall zu betrachten. Auf der jetzigen Ebene ist die Diskussion völlig sinnfrei. Gruß, Nils Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 13. Oktober 2010 Melden Teilen Geschrieben 13. Oktober 2010 Lücken gibt es in jeder Software. Die Frage ist, welche Lücke kann deine Lösung/Anforderung in der Praxis gefährden. Du hast also eine TS Umgebung die hinter einer Firewall steht? Nur die entsprechenden Ports für die Citrix Clients sind offen? Wie abgeschottet ist die Umgebung, kann ein Benutzer zB eine PDF Datei auf seinen Client herunterladen? Nehmen wir mal an du fangst dir durch eine Lücke in diversen Produkten ein, die beim Surfen zum Einsatz kommen (Browser, Flash, Pdf, Java,..). Bei entsprechender Konfiguration erwischt es im schlimmsten Fall deine Terminal Server. Aber ich sehe jetzt keinen großen Unterschied ob du mit RDP/ICA zugreifst. Über die Sicherheit des Protokolles würde ich mir Gedanken machen wenn du es ohne zusätzliche Lösung (zB VPN) übers Internet nutzen möchtest. Zitieren Link zu diesem Kommentar
G-LO 10 Geschrieben 14. Oktober 2010 Autor Melden Teilen Geschrieben 14. Oktober 2010 @ NilsK Natürlich sind es Gerüchte. Leider auch sehr hartnäckige, daher kann es idR schon nicht schaden da einmal drüber zu reden, um evtl. auch Gegenargumente zu finden. Den Anwendungsfall habe ich ja oben beschrieben, dazu hätte man also schon was sagen können. @GerhardG Lücken gibt es in jeder Software. Die Frage ist, welche Lücke kann deine Lösung/Anforderung in der Praxis gefährden. Du hast also eine TS Umgebung die hinter einer Firewall steht? Nur die entsprechenden Ports für die Citrix Clients sind offen? Wie abgeschottet ist die Umgebung, kann ein Benutzer zB eine PDF Datei auf seinen Client herunterladen? Nehmen wir mal an du fangst dir durch eine Lücke in diversen Produkten ein, die beim Surfen zum Einsatz kommen (Browser, Flash, Pdf, Java,..). Bei entsprechender Konfiguration erwischt es im schlimmsten Fall deine Terminal Server. Aber ich sehe jetzt keinen großen Unterschied ob du mit RDP/ICA zugreifst. Über die Sicherheit des Protokolles würde ich mir Gedanken machen wenn du es ohne zusätzliche Lösung (zB VPN) übers Internet nutzen möchtest. Vielen Dank für deine Einschätzung. Ja, das "Surfnetzwerk" steht hinter einer Firewall. Zum einen zum Internet hin, zum anderen auch zum Produktivnetz. Ports sind nur für ICA offen. Dateien werden per Mail in das Produktivsystem reingeschickt. Bei größeren Dateien durch Admins. Daher sehe ich das eigentlich genau so, dass es vom Konzept keinen Unterschied in der Sicherheit besteht, bo RDP oder ICA. Wie gesagt, da gab es jahrelanges fragwürdiges Consulting. Dazu kommen dann solche Meldungen von heise, die halt dann doch irgendwie verunsichern. Aber wenn ihr meint, die Wahrscheinlichkeit sich etwas über die RDP- Verbindung einzufangen ist verschwindent gering, dann sind wir ja einer Meinung. Der Terminalserver selber ist ja auch abgesichert (AntiVirus, ISA Server), hatte aber schon das eine oder andere Mal eine Virenmeldung. Inwiefern das jetzt ein false positive war kann ich nicht mehr nachvollziehen. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 14. Oktober 2010 Melden Teilen Geschrieben 14. Oktober 2010 Wenn das ganze zu unsicher ist kann man RDP auch per SSL absichern. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.