ComputerBase Menü
Aktuelles

Windows Server 2008 R2 "Selbstaussperrung" durch RDP-Deaktivierung verhindern

H

Hellblazer

Lt. Commander
Registriert
Aug. 2011
Beiträge
1.603
Hallo,

ich betreibe einen Root-Server mit Windows Server 2008 R2 als OS.
Zugriff auf den Server erfolgt per RDP über einen auf dem Server installierten OpenVPN-Server. Der RDP-Port ist nur im VPN-Netzwerk geöffnet. Ohne VPN kann man den Remote-Desktop also nicht nutzen.

Jetzt zum Problem:
Nimmt man nun einmal an, der OpenVPN-Dienst stürzt ab (oder sonstwas) und man kann sich nicht mehr ins VPN-Netz einloggen.
Dann funktioniert der Remote-Desktop auch nicht mehr und der OpenVPN-Dienst lässt sich nicht mehr starten. Somit ist man ausgesperrt.
Das Problem bestand schon einmal: jemand hat die Firewall auf höchste Sicherheit gestellt (also alle Ports dicht). Erst ein Anruf beim Support des Hosters konnte uns wieder Zugriff auf den Server verschaffen.

Nun will ich aber, dass der RD nur über VPN erreichbar ist, will aber auch eine Absicherung für den Fall, dass man sich nicht mehr mit dem VPN-Server verbinden kann. Dabei will ich aber auch nicht unbedingt extra Dienste aktivieren oder extra Programme installieren, mit denen ich dann im Notfall eine Verbindung herstellen könnte, da dadurch wieder neue Ports offen sind oder eventuelle Sicherheitslücken entstehen könnten (dann kann ich mir das mit VPN-Server auch sparen).

Meine Idee wäre jetzt gewesen: Man schreibt sich ein kleines Server-Programm mittels dem man im Notfall die Firewall-Regel für den RD für öffentliche Netze (also dem Internet) aktivieren kann und somit ohne VPN auf den RD verbinden kann, oder das Programm startet den OpenVPN-Dienst neu (oder es kann am Besten beides :) ). Das würde natürlich wieder Aufwand beudeuten: Erstmal die Grundstruktur (Client und Server), dann noch Verschlüsselung, dann noch auf Stabilität achten...
Vorteil von einem selbst geschriebenen Programm: Es macht genau das was man will.
Nachteil: Zeitaufwand, eventuell doch Sicherheitslücken

Gibts da keine einfache Lösung? Bei meinem anderen Server (Kvm-Server bei einem anderen Anbieter) gibts im Verwaltungsbereich eine VNC-Console. Da kann man dann, wenn man ausgesperrt sein sollte im Notfall wieder alles zum Laufen bringen.
Ist sowas auch für Root-Server möglich, oder ist das eher nur bei kvm-/v-Servern anzutreffen?
Wenn nein, was wäre dann die geschickteste Lösung um nach einem Aussperren vom Server wieder Zugriff zu erlangen?
 
Lösung a:
Ordentliche Hardware kaufen, für jeden richtigen Server gibts heute IPMI,ilo,DRAC oder wie sie alle heißen.
Natürlich stellen die selber auch wieder ein Sicherheitsrisiko dar, genau wie die KVM-Lösung von Anbieter xy.

Lösung b:
Wenn du irgendwo ne feste IP hast, schalte die in der Firewall frei und block nicht direkt das ganze Interface.

Lösung c:
Wenn du mehr als einen Server hast, benutz einen 2. als Hintertür, sprich richte da auch ein VPN drauf ein und connecte intern.

Lösung d:
port-knocking. Du öffnest mit einem Paket an Port xy nen anderen Port für ne gewisse Zeit.
k.A. obs das für Windows gibt, wir haben sowas früher mal für iptables benutzt um damit den openvpn Port aufzumachen.


Aber die eigentliche Frage ist doch:
Warum soll ein VPN-Programm und/oder was selbstgeschriebenes sicherer sein als der Remote-Desktop-Dienst selber?
Halte ich für äußerst fragwürdig.
 
Blutschlumpf schrieb:
Lösung a:
Ordentliche Hardware kaufen, für jeden richtigen Server gibts heute IPMI,ilo,DRAC oder wie sie alle heißen.
Natürlich stellen die selber auch wieder ein Sicherheitsrisiko dar, genau wie die KVM-Lösung von Anbieter xy.
Zum Vergrößern anklicken....

Muss mal schauen welche Hoster IPMi anbieten. Hetzner scheint IPMI zu bieten. Bei dem von mir angepeilten Server scheint die nötige Platine zu verbaut sein, es steht allerdings nur dran, dass die Funktion über ein kostenpflichtiges Addon freigeschaltet wird. Preise stedhen allerdings keine dran. Werd mal noch genauer schauen. Allerdings bedeutet das wieder extra Konfigurationsarbeit :)

Die Frage ist aber dann auch: Bietet IPMI mir dann die Möglichkeit ohne RDP auf den Server zu verbinden? Also ist eine KVM-Console auf einem Windows Root möglich? Hetzner bietet gegen AUfpreis KVM an, aber ich kenn mich mit IPMI jetzt nicht soweit aus, dass ich sagen könnte, dass eine KVM-Console mit Windows möglich ist (googlen ergibt: KVM-Console grundsätzlich möglich, aber ob jetzt auch mit Windows-Roots?)
IPMI wird ja über Hardware realisiert und ist ja grundsätzlich auch OS-unabhängig. Aber wie wird die KVM-Console realisiert? Auch nur reine Hardware? Also vereinfacht: Die BMC-Platine"zapft" irgendwo Video-Daten ab und sendet sie an ein Web-Interface des Hosters ö.a.?
<- Wissenslücke gestopft :)

EDIT: Hetzner bietet auch direkt KVM over IP. Allerdings ist der Preis mit 149€ Setup und 19€/Monat deutlich zu hoch. Man kann sich auf Anfrage anscheinend aber einen sogenannten "LARA-Server" an den Server hängen lassen, der dann ebenfalls eine Remote-Konsole bietet.

Host-Europe bietet eine "Remote-Console" an.

Natürlich bilden die genannten Lösungen wieder mögliche Sicherheitslücken, vor allem wenn das über das Web-Interface des Server-Anbieter geregelt wird (da kann man dann nur hoffen, dass Hetzner aus der Vergangeheit gelernt hat ;) ), aber irgendwie brauch ich eine Backup-Lösung.

Lösung b:

Wenn du irgendwo ne feste IP hast, schalte die in der Firewall frei und block nicht direkt das ganze Interface.
Zum Vergrößern anklicken....

Den Gedanken hatte ich früher einmal, da ich eigentlich eine feste IP von meinem ISP habe, die sich aber alle paar Monate trotzdem mal ändert. Dann bin ich auch auf deine Lösung c (wenn ich das richtig verstehe; siehe unten) gekommen

Lösung c:
Wenn du mehr als einen Server hast, benutz einen 2. als Hintertür, sprich richte da auch ein VPN drauf ein und connecte intern.
Zum Vergrößern anklicken....

Auf meinem zweiten Server läuft ebenfalls ein VPN-Server (selbes Prinzip wie beim Root). Ich will aber eigentlich keine Verbindung zwischen den zwei Server eingehen.
Wie genau ist das "connecten intern" zu verstehen?
Nimmt man an zu meinem Root ist keine VPN-Verbindung mehr möglich, dann kann ich auch nicht mehr von meinem anderen Server darauf.

Meine Ursprungslösung wäre gewesen (hab ich hier auch schonmal kurz in einem anderen Thread angerissen):
Ich verbinde mich per VPN auf meinen KVM-Server und lasse im Root nur die IP vom KVM-Server zu und verbinde ich dann mittels VPN über den KVM zum Root (dann häte ich das mit meiner festen, aber dochmal wechselnden IP umgangen) Wäre zwar keine Lösung für den Alltags-Gebrauch, aber im Notfall sicher brauchbar. Nachteil: Ich müsste den VPN-Verkehr vom KVM ins Internet routen und beim Root wäre der RDP-Port dann wieder nach außen hin offen, zwar nur für eine IP, aber das gefällt mir trotzdem nicht :D

Andere Lösug: Beide Server sind jeweils noch Client im VPN des anderen Servers. Das empfinde ich aber eher als Chaos und hilft auch nicht falls zum VPN-Server des Roots auch noch der Client mit abstürzt.


Lösung d:
port-knocking. Du öffnest mit einem Paket an Port xy nen anderen Port für ne gewisse Zeit.
k.A. obs das für Windows gibt, wir haben sowas früher mal für iptables benutzt um damit den openvpn Port aufzumachen.
Zum Vergrößern anklicken....

Soweit mir bekannt, geht PortKnocking nur mit extra Programmen unter Windows (kann mich aber auch irren, hab mich noch nie tiefer damit befasst) (da könnte ich dann auch die von mir angesprochene Lösung mittels selbstgeschriebenem Programm nutzen)

Aber die eigentliche Frage ist doch:
Warum soll ein VPN-Programm und/oder was selbstgeschriebenes sicherer sein als der Remote-Desktop-Dienst selber?
Halte ich für äußerst fragwürdig.
Zum Vergrößern anklicken....

Warum sollte es nicht? Also zumindest nur VPN erachte ich als Sicherheitsplus. Mag vielleicht auch ohne "sicher" sein, aber wenn jemand an den RD will, muss er erstmal in das VPN. Dann kann der Angreifer sich erstmal am RD zu schaffen machen. Zudem hab ich von OpenVPn selbst noch nichts über gravierende Sicherheitslücken gehört, was ich zum Beispiel vom integrierten Windows VPN nicht sagen kann.
Heartbleed jetzt mal ausgenommen, da hatte Microsoft dann die Nase vorn.
Natürlich könne auch Lücken in OpenVPN vorhanden sein und wenn, dann ists ganz schlecht, da der OVPN-Server mit Admin-Rechten laufen muss :freak: . Wenn sich dann über eine eventuelle Lücke Schadcode ausführen lässt, läuft der ebenfalls mit Administrator-Rechten...

Ich will den RDP-Port einfach nicht direkt von außen zugänglich haben. Allein schon die ganzen Log-in-Versuche von irgendwelchen Bots stören mich leicht...
Dann hab ich auch irgendwie leichtes Misstrauen gegenüber Microsoft und der RDP-Lösung. Vielleicht völlig unbegründet und zu unrecht, aber ich sehe da den OpenVPN-Server immer noch als sicherer und als kleinere Angriffsfläche an.
Zudem kann ich so auch den FTP Port nach außen hin zu lassen, aber per VPN immer noch Daten auf den Server schieben.
Nach außen sind dann also nur Port 80, 443 und der OVPN-Port zugänglich.
 
Zuletzt bearbeitet:
Ich denke wir sehen das einfach aus einer anderen Sichtweise.

Für dich bietet das VPN nen Zusatzbonus weil jemand VPN und RDP hacken müsste.

Aus meiner Sichtweise ist ein Exploit, der in root/admin-Zugriff resultiert bei beiden Anwendungen etwa gleich wahrscheinlich.
Ergo braucht der Angreifer nur ein Programm zu hacken und das VPN bietet per se schon keine zusätzliche Sicherheit wenns auf dem Windows-Rechner selber läuft.
Dazu kommt dann noch die KVM (egal welcher Art) bzw. dein Zusatzprogramm. Ergo hat deine VPN-Lösung mit backdoor imho ein höheres Risiko als den RDP einfach öffentlich zu betreiben.

PS: Falls es an den Kosten scheitert, niedriger Preis (nennen wir das Kind beim Namen: Billighoster) mit HP ilo:
http://www.dediserv.eu/
 
Wegen dem Hosten hab ich mich bei hosteurope umgeschaut. Die bieten per VNC Konsolen-Zugriff anscheinend bei jedem Server.

Ich hab noch nirgends was gehört von nem gehackten OpenVPN-Server (aber wie schon gesagt, dass eine Sicherheitslücke existiert, die bei einem Angriff ermöglicht irgendwie Schadcode als Administrator auszuführen, kann natürlich sein).

Gibt es eine solche Lücke aber nicht, sollte auch nichts passieren können, was nicht auch ohne OpenVPN passieren kann.

Was wohl die größte Gefahr ist, dass die Zertfikate der zum VPN zugangsberechtigten Personen gestohlen werden und sich damit dann jemand ins VPN einloggen kann. Dazu muss allerdings erst der PC einer zugangsberechtigten Person gehackt (oder sich sonstwie Zugang verschafft) werden und das Passwort des Zertfikats mitgeloggt werden. Wenn es soweit kommt, dass Passwörter mitgeloggt werden (Keylogger), dann hat der Angreifer auch das Passwort zum RDP. Da bringt OpenVPN auch nicht mehr viel, außer dass ich, sofern man weiß, dass das Zertfikat gestohlen wurde, es im OpenVPN-Server sperren lassen kann. Dazu muss der Angreifer aber ersteinmal darauf kommen, dass auf den RDP nur per VPN zugegriffen werden kann und dann noch eine Person finden, die Zugang zum VPN hat und Zugriff auf den PC der Person erhalten.
Das Passwörter gestohlen werden, kann aber auch ohne VPN passieren. Also ist VPN da kein Nachteil.

Nimmt an OpenVPN und RD-Zugang weisen die gleiche Wahrscheinlichkeit einer möglichen Sicherheitslücke, die einem Admin-Rechte verschafft auf, dann habe ich mit OpenVPn trotzdem noch mehr Vorteile, als ohne:
- FTP-Zugang nur im VPN möglich (somit fallen auch schonmal die ganzen Bot-Login-versuche auf den FTP weg)
- Der Datenverkehr ist nocheinmal zusätzlich verschlüsselt
- Kontrolle möglich, wer überhaupt bis zur RDP-Login-Maske vordringen darf (Bot-Logins fallen weg)



Jetzt aber mal ungeachtet meiner VPN-Lösung:

Mann kan den RDP-Zugang schließlich auch noch anders verlieren:
- DDos: temporär keine/langsame Verbindung auf den Server möglich
- Netzwerkkarte-Defekt: Man könnte dann in der Ausfallzeit, sofern die Remote-Konsole über eigene Hardware realisiert wird, immernoch auf den Serer zugreifen
- Firewall-Regeln verstellt (sollte eigentlich nicht mehr passieren, aber sicher ist sicher :D )

Insofern ist in meinen Augen eine Alternative zum Remote-Desktop nötig.
Bei HostEurope lässt sich der VNC-Zugang anscheinend deaktivieren und mit Passwort versehen (scheint auch über andere Hardware, also nicht den eigenen Server, zu laufen).
Bekommt nun einer Zugriff auf das Web-Interface des Servers bringt das PW dann wohl auch nicht mehr viel, aber das wird wohl bei allen Lösungen so sein.

Von meinem selbstgeschriebenen Programm halte ich mittlerweile Abstand. Die Idee ist eher bescheiden :D

Zu dem Billighoster: Sieht mir nicht gerade Sympathisch aus. Die Hardware (u.a. HP ProLiant) sieht zwar toll aus, und ILO hinterlässt bei mir auch einen besseren Eindruck als IPMI, aber trotzdem sind dann CPU, Ram, HDD, Traffic schlechter als bei einem billigeren HostEurope oder Hetzner-Server.
Wie gesagt. Host-Europe bietet eine VNC-Konsole. Das reicht fürs erste. ILO jetzt nur wegen KVm zu nutzen (die anderen Möglichkeiten von ILO sehen natürlich auch ganz brauchbar aus), erscheint mir dann aber doch zu viel.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
TP-Link ER7212PC OpenVPN Zertifikate exportieren
Antworten
2
Aufrufe
365
Phinix2000
P
DJMadMax
Allgemeine Frage zum Traffic Routing bei VPN-Verbindungen
2
Antworten
27
Aufrufe
1.311
h00bi
h00bi
adjeui
Self Webhosting mit RPi - Was gilt zu Beachten bezüglich Sicherheit?
2
Antworten
20
Aufrufe
1.117
h00bi
h00bi
Corin Corvus
Coturn - Call zwischen lokal und Remote. Gibt es hier eine Lösung?
Antworten
13
Aufrufe
712
nutrix
N
cryptocat1337
Sicherheit und Zugriff für Shinobi-Server mit Reverse-Proxy und Cloudflare
Antworten
1
Aufrufe
789
Dragon0001
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz