Hej,

Jag kör en server som webbserver och databasserver (bland annat). Denna styr jag via RDP. Min fråga är, hur säkrar man en sådan lösning? Jag antar att man inte når inloggningsskärmen på "stora" företag om man försöker RDPa till mindoman.se. Bör man byta port på RDP? Kan man begränsa RDP till vissa IPn eller till att bara tillåta anslutningar från en specifik DNS (ex. admin.mindoman.se)?

OP: Windows Server 2003 Standard x64

<b>Min fråga är, hur säkrar man en sådan lösning?</b>
Ett hett tips är att använda en brandvägg... t.ex. en m0n0wall (http://m0n0.ch/wall/features.php)

Eftersom RDP-protokollet i sig inte är speciellt säkert så skulle jag tunlat trafiken, via t.ex. vpn eller ssh. Brandvägg som begränsar vem (ip) som får ansluta är heller inte fel.

/Johan

Så windows inbyggda lösningar är inget att ha? Just nu kör jag Windowsbrandväggen, och där är givetvis allt utom det nödvändigaste begränsat. Om man sätter upp en riktig RAS-server antar jag att jag kan begränsa så att endast vissa IP tillåts, men då de klienter jag ansluter ifrån inte har fast IP kanske detta inte är en så bra lösning.

Är RDP så osäkert? Enligt vad jag läst kör det 128-bitars kryptering i båda riktningar.

Kan jag köra SSH med Windows?

<b>Är RDP så osäkert? Enligt vad jag läst kör det 128-bitars kryptering i båda riktningar.</b>

Jag testade en Man-In-The-Middle attack mot mig själv utan att få någon varning. Problemet är inte krypteringen utan avsaknaden av certifikat, man märker alltså inte om någon mittimellan låtsas vara servern. Det ska dock finnas stöd för SSL i RDP nu för tiden.


<b>Kan jag köra SSH med Windows?</b>

Ja, det finns för Windows också.

/Johan

m0n0wall har inbyggd VPN server, VPN passthrough och kan även köra autentiering mot en Radius-server om man så vill... PPTP, IPSec osv... och den är rätt så enkel att konfigurera.

<b>...märker alltså inte om någon mittimellan låtsas vara servern</b>

Nej, men om någon lyckas med detta måste denna person på något vis lyckats vara min DNS-server eller liknande? Om jag då ansluter specifikt till mitt server-IP borde risken vara mycket liten att någon lyckas genomföra en sådan attack, särskilt med tanke på att de måste vara mellanhand direkt vid initieringen för att lyckas få tag i lösenordet... eller?

<b>Det ska dock finnas stöd för SSL i RDP nu för tiden</b>

Finns detta stöd för Windows Server 2003, eller endast i den nya RDP 6.0 som finns till Windows Vista?

<b>m0n0wall</b>

Helst skulle jag vilja slippa tredjepartsapplikationer på servern, men m0n0wall kanske är såpass bra att det får passera. Du menar att jag kan använda denna även som VPN-server? Behöver inte klienten ha någon programvara för att nyttja denna extra säkerhet?


Tack för all information!

<b>Helst skulle jag vilja slippa tredjepartsapplikationer på servern</b>
m0n0wall kör du på en egen maskin... mellan WAN och LAN(eller DMZ)... inte på windows-servern. En enkel PC (Pentium 233MHz eller bättre, 64MB RAM eller mer) med CD-läsare, två nätverkskort och diskettstation funkar.

Det finns även "färdiga lådor" t ex Soekris net4801 (danska Cortex Systems är europeiska generalagenter, http://www.cortexsystems.dk/shop/net4801/net4801_50_board_and_case_en.html)...
En sån med nätagg och CF-kort kostar i deras webbutik med frakt till Sverige ca €320(dvs ca 3000kr)...

Som VPN-klient kan du använda Microsoft's egna om du vill...

<b>>...märker alltså inte om någon mittimellan låtsas vara servern

Nej, men om någon lyckas med detta måste denna person på något vis lyckats vara min DNS-server eller liknande? Om jag då ansluter specifikt till mitt server-IP borde risken vara mycket liten att någon lyckas genomföra en sådan attack, särskilt med tanke på att de måste vara mellanhand direkt vid initieringen för att lyckas få tag i lösenordet... eller?</b>

Det finns något som kallas för ARP poisoning, det innebär kortfattat att man kan få trafiken mellan 2 datorer att passera sin egen. Det mest realistiska är att man har tillgång till en dator på nätvärket där servern eller klienten står. Har man det är det inga problem att se lösenordet i RDP-trafiken. Detta går givetvis att skydda sig mot med statiska arp-tabeller eller switchar som inte tillåter trafik mellan klienterna, men det hör inte till vanlighetern.

<b>>Det ska dock finnas stöd för SSL i RDP nu för tiden

Finns detta stöd för Windows Server 2003, eller endast i den nya RDP 6.0 som finns till Windows Vista? </b>

I Win2003 SP1 har jag läst, dock inte testat själv.

/Johan

Tack för tipsen!

Jag lyckades lägga på ett certifikat på RDP i Windows Server 2003, så nu är min serveradministration säkrad! Jag följde instruktionerna på http://www.petri.co.il/securing_rdp_communications.htm.