Win-Server durch VPN absichern

[muciber 10]

Hallo,

 

Ich bin gerade am aufsetzen eines Win2k3 Servers. Da ich mir bezüglich des Remote Desktops bereits die Zähne ausgebissen habe möchte ich auf eine andere Lösung bzgl. Fernwartung umsatteln und hab da noch ein paar Sicherheitsbedenken diesbezüglich.

 

Meine neue Variante: Ich installiere auf dem Server tightvnc. Um sicher darauf zu verbinden kommt zusätzlich ein SSH Server zum Einsatz.

Um die Verbindung zum Server zu verschlüsseln möchte ich über den Putty Client ein Port Forwarding machen damit sämtliche Daten verschlüsselt zum Server gehen.

Über tightVNC verbinde ich mir dann zu localhost:port und werde per putty verschlüsselt auf den Server weitergeleitet.

 

Sollte das bzgl. Sicherheit (schon) ausreichen?

 

Meine ursprüngliche Variante wäre gewesen per 128-Bit Verschlüsselung via VPN auf den Remote Desktop des Servers zuzugreifen, nur hab ich keine Verbindung zu Stande gebracht.

 

 

Meine Frage: Was haltet ihr von der SSH/VNC Variante? Gibt es daran etwas zu bemängeln, verbessern,..?

Und kann man irgendwie den VNC-Server noch weiter absichern? Hab da irgendwie kein soo gutes Gefühl bzgl. Authentifizierung (dass ein ordenlicher Username+PW gewählt werden sollen der nicht geläufig ist, ist klar)

Würde ich VNC über VPN machen käme es jedoch zu einer 2-fachen User/PW Abfrage. Macht das ganze umständlicher zu connecten aber denke doch dass das sicherer ist ?!

 

Wie ihr wohl schon gemerkt habt bin ich auf dem Gebiet noch ein ziemlicher Neuling.

Solltet ihr noch ein paar Tips zur weiteren Absicherung des Servers haben wär das ein Hit!

 

Thx im Voraus für eure Replys

 

muciber

[alexstarke 10]

also erstmal würde ich definitiv Remote desktop in verbindung mit VPN bevorzugen!!

 

VNC ist einfach viel zu langsam und sicherheitstechnisch auch nicht sooo das wahre...

 

was klappt denn an der verbindung zum Remotedesktop nicht??

klappt die VPN denn? oder liegts vielleicht schon daran??

[muciber 10]

VNC via SSH auch nicht zu bevorzugen?

 

VPN hat von der Verbindung her hingehaun. Hab dann versucht die Freigaben zu machen wer den Remote DEsktop benützen darf.

War hierfür unter Systemsteuerung->System->Remote um es mal zu aktivieren.

Danach hab ich unter den Terminal Services den trc oder wie das geheissen hat was dort zu finden war konfiguriert um die Benutzerrechte her zu geben.

Beim VPN/Remote Access Server hab ich dann noch über Policies versucht das ganze noch zu verfeinern bzgl. Verschlüsselung etc.

 

Eigentlich sollte das ja hin haun, tut es aber nicht :(

Und da das ganze an 3 Stellen im System zum konfigurieren ist, macht es mir das nicht grade einfacher.

 

Finde ich wo im Inet Anleitungen zur Config des Remote Desktops? Hab nicht wirklich was dazu gefunden und bin derzeit noch von der Optionsvielfalt erschlagen.

 

muciber

[alexstarke 10]

VNC ist allgemein zu langsam! ob nun VPN oder SSH ist denk ich nicht sooo relevant, wobei ich VPN bevorzugen würde..

 

zu den einstellungen für den remote desktop (auch genannt terminal server) such doch mal hier im Forum!! da gibt es viel!

 

Suche z.B. nach Terminal Server, Terminal Services, TS o.ä.

[muciber 10]

Hi alexstark

 

Danke für deine 2 Replys.

Bzgl. VNC Vorteil für uns: Es ist sehr leicht aufzusetzen und einzustellen. Geschwindigkeit haben wir heute mal ausprobiert (ich war Server und hänge an 64k Up/Dl ISDN) und reicht eigentlich für unsere Zwecke vollkommen aus.

Dass es natürlich besser sein könnte ist klar aber es würde auch so reichen.

Ich mach mir mehr Sorgen um die Sicherheit des Servers.

Deswegen nochmals 2 Fragen dazu:

1) Wie sicher ist VNC grundsätzlich? Und hilft es grossartig etwas, wenn man den verwendeten Port woanders hinlegt?

2) Wieso ziehst du VPN, SSH vor?

 

Vorteil von SSH (weiss nicht ob es bei VPN genau so ist)

Man kann beim VNC angeben dass man nur Loopback Connections erlaubt -> dadurch kommt man um ein Programm wie SSH nicht herum (oder gilt das gleiche für VPN?)

 

Naja jedenfalls kommt es so noch zu einer weiteren authentifizierung am Server (User und PW für den SSH Server).

Eine Andere Möglichkeit der Verbindung auf den Server gibt es nicht dass man sich in VNC einloggn kann.

UND: Ein vermeintlicher Angreifer müsste sich ebenfalls über SSH, VPN oder sonst was einloggn (weil "allow ONLY loopback connections") -> VPN Server läuft nicht also keine Chance -> bei SSH muss er sich auch erst mal einloggn.

 

Denke jedenfalls dass es dem Angreifer hoffentlich zu dem Zeitpunkt zu **** wird, weiters zu versuchen auf den Server zu kommen. (wird ein Gameserver in einem Rechenzentrum)

 

Stimmen meine Überlegungen so in etwa oder hab ich da wo einen Fehler drinnen?

 

Thx

 

muciber

[alexstarke 10]

eine weitere anmeldung brauchst du ja via VPN genauso!

 

Sicherheit: das mit dem Loopback ist eigentlich nicht sinnig! wenn der Port für den Dienst am server dicht ist (Firewall) und nur der VPN Port offen ist, muss er erst per VPN auf den server bevor er auf den Dienst zugreifen kannst. daher ist das schon eine sehr sichere Variante! Sicherheit beim Remote Desktop liegt sicherlich auch höher...., weiß ich aber nicht, wo genau die vorteile liegen! das müssen andere im Boird sagen! Bin ja nur hobby-netzwerker... also da nich so das fundierte wissen... ;-)

 

 

Also ein angreifer müsste: sich über VPN einwählen und sich authentifizieren...

dann verbindung per RPD herstellen und am Server autentifizieren (kann ja nen anderer User sein....)

 

von daher keine unterschiede....

 

Oder vertue ich mich??

[muciber 10]

Wenn ich es richtig verstandan habe kann ich mit dem "allow ONLY loopback connection) unterbinden dass man auf den VNC kommt ohne mit z.b. SSH oder VPN

->man kommt um die einwahl durch SSH oder VPN nicht herum und somit gleich mal um ein Eck sicherer.

Zumindest hab ich das bis jetzt so mitbekommen.