Das Remotedesktop-Protokoll (RDP) unter Windows ist schon eine tolle Sache. Mit wenig Aufwand, hohem Komfort und guter Zuverlässigkeit kann man über die Terminaldienste von Windows via RDP auf entfernte Server und Computer zugreifen, wenn dort dieser Dienst aktiviert ist. Im Windows-Umfeld dürfte es sich hierbei um den geläufigsten Weg der Fernadministration handeln. Mietet man einen Windows-Rootserver bei einem Provider an oder betreibt in einem Rechenzentrum einen eigenen Server, dürfte RDP sogar sehr häufig der einzige (vorkonfigurierte) Weg sein, von zuhause auf das Gerät zu Administrationszwecken zuzugreifen.

RDP-Zugänge sind mit Windows-Bordmitteln schwierig abzusichern

Das Problem ist, dass es auch ein potenzielles Sicherheitsrisiko darstellt, wenn der RDP-Zugang für jedermann frei aus dem Internet zu erreichen ist. Selbst wenn Sie Ihren Server im "letzten Winkel" des Internets meinen untergebracht zu haben oder unterschiedliche IP-Adressen für Ihre Dienste verwenden, ist es dank moderner IP-Scanner nur eine Frage der Zeit, bis in Ihren Protokolldateien unautorisierte Anmeldeversuche via RDP auftauchen - natürlich hoffentlich erfolglos, sonst suchen Sie sich besser gleich einen neuen Job oder rufen Ihren Anwalt an!

Dass das Administrator-Konto unüblich umbenannt werden sollte, das Passwort allen Regeln der Kunst genügen sollte, Sitzungen und Anmeldeversuche weitgehend limitiert werden sollten, das alles sollte selbst der ungeübteste Administrator wissen und beherzigen, der einen Windows-Server in ein öffentliches Netz stellt. Mit diesen wenigen Maßnahmen sollte Ihr Server zumindest via RDP nicht gleich gekapert werden.

Aber die Tatsache, dass der RDP-Anmeldedialog als solcher grundsätzlich jedem anfragenden Client präsentiert wird, ist an sich schon sehr unschön, denn das lädt Hacker und Bots ja geradezu zum Passwortraten ein. Der sicherste Login-Dialog ist noch immer der, der gar nicht erscheint. Zudem kostet es auch noch unnötig wertvolle Bandbreite.

RDP absichern

Doch was tun? Nun, es gibt zahlreiche Möglichkeiten, von denen jedoch nicht immer alle jedem zur Verfügung stehen. Als wichtigste Maßnahme sind hier wohl restriktive Firewall-Regeln zu nennen, mit denen Sie den Zugriff auf den Server via RDP limitieren können, z.B. indem Sie den Zugriff auf den RDP-Port beschränken (normalerweise TCP Port 3389). Das Problem hierbei ist nur häufig, dass sie diese Regeln praktisch nicht so restriktiv einstellen können, wie Sie es vielleicht müssten, weil Sie sich sonst eventuell selbst den Zugriff auf den Server via RDP versperren würden.

Viele Administratoren möchten z.B. über die heimische DSL-Leitung via RDP auf den Server im Rechenzentrum zugreifen. Ob das nun empfehlenswert ist oder nicht, sei dahingestellt, es ist faktischer Alltag. Wegen dynamischer IP-Adressen des heimischen Providers lässt sich aber deshalb der Zugriff nicht auf einzelne IPs auf Seiten des Servers beschränken. Abhilfe könnten hier ausgereifte (externe, nicht in Windows enthaltene) Firewall-Lösungen schaffen, bei denen man differenziertere Regeln vergeben kann oder gar Stealth-Features wie Portknocking nutzen kann. Letztlich verfügt jedoch nicht jeder Administrator über solche Tools bzw. Gerätschaften oder kann Sie bei seinem Hoster / Provider nicht installieren (lassen).

2X SecureRDP kann hier helfen

Lange wusste ich auch keine Lösung für dieses Dilemma, bis ich neulich mal auf das Tool 2X SecureRDP des Unternehmens 2X gestoßen bin, welches erfreulicherweise auch noch als Freeware vertrieben wird. Und endlich habe auch ich keinen Grund mehr, zunehmend verunsichert RDP-Anmeldeversuchen aus Hong Kong in meinen Logfiles zuzugucken.

Bei 2X SecureRDP handelt es sich um ein kleines Tool, welches laut Spezifikation bis Windows Server 2003 mit RDP 4 eingesetzt werden kann, und genau das geschilderte Problem adressiert. Ob es auch unter Windows Server 2008 funktioniert oder es da eine neue Version gibt bzw. in Planung ist, weiß ich nicht, da die von mir betreuten Server derzeit alle noch auf Windows Server 2003 und RDP 4 basieren und ich beim Hersteller 2X nicht weiter angefragt habe. Trotz immer wieder neuer RDP-Versionen ist jedoch bekanntlich nie ein großer technolgischer Schnitt seitens Microsoft erfolgt, so dass eine Unterstützung neuerer Versionen vermutlich keine große Herausforderung darstellt. Aber das gilt es ggf. noch zu klären.

Mit SecureRDP ist es möglich, spezielle Regeln in Form von praxisgerechten Filtern zu vergeben, die gezielt nur für den Fernzugriff via RDP gelten und somit eine weitere Sicherheitsebene darstellen.

Nach der Installation muss der Server leider einmal durchgebootet werden, anschließend steht dann folgende aufgeräumte Benutzeroberfläche zur Verfügung:

Es stehen unterschiedliche Filtertypen zur Verfügung, mit denen sich der Zugriff auf RDP effektiv und effizient einschränken lässt. Die Regeln lassen sich beliebig kombinieren:

• Filter "IP Address"
  Ähnlich wie bei einer Firewall lassen sich IP-Adressen und Adressbereiche gezielt vom RDP-Zugriff aus- oder einschließen. 
• Filter "Computer Name"
  Es können die Netzwerknamen der RDP-Clients angegeben werden, welchen Zugriff gewährt oder verwährt werden soll. Das ist natürlich nur sinnvoll, wenn die Client-Namen nicht allgemein bekannt sind oder sich erraten lassen. (Bei öffentlichen Angriffsversuchen via Bots über das Netz ist jedoch meist nicht anzunehmen, dass ein Angreifer einen gültigen Clientnamen kennt. Das wäre dann ja schon ein sehr zielgerichteter Angriff.)
  
• Filter "MAC address"
  Zugriffsregeln können auch über die MAC-Adresse der Netzwerkkarte definiert werden. Super Sache, funktioniert aber natürlich nur im LAN und nicht im bisher skizzierten Internet-Szenario. 
• Filter "Client Version"
  Mit diesem Filter kann der RDP-Zugriff auf Basis bestimmter RDP-Clientversionen reglementiert werden. Auf diese Art lassen sich z.B. indirekt ältere XP-Clients ausschließen.
• Filter "Time Restrictions"
  Hiermit kann man definieren, dass z.B. wertags in der Nacht zwischen 2 Uhr und 7 Uhr morgens grundsätzlich keine RDP-Sessions erlaubt werden. Wer sich zu diesen Zeiten versucht einzuloggen, hat eh entweder Schalfprobleme oder ist ein Hacker - oder gar beides.

Es gibt noch ein paar weitere Features, die ich hier jetzt nicht ausführen möchte (z.B. Logging, konfigurierbare Meldungen im Fall des Blockens etc.).

Fazit: Sehr brauchbar, wenn man sich anders nicht helfen kann!

2X SecureRDP macht einen soliden Eindruck, tut das, was es vorgibt zu tun und das zuverlässig und ohne Rätsel aufzugeben. Ich habe es jetzt seit ein paar Wochen auf zwei weniger wichtigen Webservern im Einsatz, deren IP-Adressen anscheinend auf irgendwelchen Hacker-Listen gelandet zu sein scheinen. Anhand der bisherigen Erfahrungen empfehle ich das Tool gerne weiter und denke, es wird in mein Standard-Toolset bei der Administration von Windows-Servern aufgenommen.

Sicherheitstechnisch ist SecureRDP nun sicher auch nicht der Weisheit letzter Schluss, aber zumindest die zahlreichen Bots, die womöglich ständig versuchen durch Brute-Force-Attacken, in im Netz befindliche Windows-Server via RDP einzusteigen, haben so weniger Angriffsfläche. Bei den zu Beginn des Artikels geschilderten Szenarien sollte dieser Ansatz ein zusätzliches kleines Plus an Sicherheit bieten. Wer ein Problem mit massenhaften Anmeldeversuchen hat, wird sich anschließend wieder über "saubere" Protokolle freuen können.

Auch hier gilt natürlich wieder: Probieren geht über studieren.

Links und Quellen

Sie erhalten 2X SecureRDP als Freeware direkt von den 2X-Servern: http://www.2xsoftware.de/securerdp

Noch ein letzter Tipp: Wer auf der Downloadseite ganz unten auf den Update-Link klickt, kann die Software auch ohne vorherige Registrierung herunterladen, das bleibt aber unter uns...