Re: Terminal Server als Alternative zu VPN

Hi Robert,

On Sat, 22 Oct 2005 16:38:47 +0200, Robert Pieroth [MVP] wrote:

> "Thomas Wildgruber" <ng@xxxxxxxxxx> schrieb
> [Sicherer Zugang ins LAN]
>
> Hi Thomas,
>
> erstmal ein paar Grundlagen:
> Sowohl bei SSL als auch bei VPN geht es in erster Linie um die Absicherung
> der Daten auf dem Weg zwischen Client und Server über das unsichere Internet.
> In beiden Fällen werden die Daten, die über die Systeme im Internet laufen
> verschlüsselt, so daß dort kein Unbefugter mitlesen kann.

ACK

> Andere Security-Fragen werfen sich aber zusätzlich auf:
> - wie erreiche ich, daß nur berechtigte Clients eine Verbindung aufbauen?

Bei VPN sicher leichter zu kontrollieren als mit einem simplen Loging via
z.B. https. Das hier die Passwortrichtlinien massiv verschärft werden
müssten, wäre klar.

> - wie ist der Schutz gegen Einschleppen von Viren/Trojanern?

Meine *grösste* Sorge.

> - wie ist der Schutz gegen Herausbringen von Daten aus dem LAN?

Bei regulären Benutzern spielt das eher eine untergeordnete Rolle. Heute
hat jeder einen USB Stick, viele einen Firmenlaptop und E-Mail oder FTP ist
nur schwer bis gar nicht zu kontrollieren. Einem unbefugten Zugang
allerdings ist *unbedingt* mit adäquaten Mitteln zu begegenen.

> [VPN -> Datenaustausch Client <-> Server]
>
> Bei der TS-Lösung verlassen nur Bildschirmdaten die Firma. Kopieren/lokales
> Speichern von Daten ist zwar auch möglich, aber das muß man entsprechend
> konfigurieren (oder kann's lassen).
> Insofern werden die Daten nur indirekt (über Anschauen auf dem Bildschirm
> des Client) aus der Firma herausgebracht.

Eine interessante Option aber wie oben schon erwähnt nicht in erster Linie
wichtig aber...

> Bei VPN und dem damit verbundenen Direktzugriff auf die Server besteht
> darüber hinaus auch die Gefahr, daß auf diesem Weg Viren und Trojaner
> von den Clients in LAN gelangen.

....hier ist meine Hauptsorge bei einem VPN Zugang zu Hause. Manche
Mitarbeiter, die auch gerne von zu Hause arbeiten würden, haben zu Hause
Systeme, welche ich noch *nie* gesehen habe und denen ich prinzipiell nicht
vertraue.

> Was wiederum über VPN-Quarantäne
> gelöst werden kann - aber das ist schon wieder mehr Aufwand.

Entweder teuer (Cisco/TrendMicro) oder/und aber ziemlich bastelig
(Microsoft) und IMHO so oder so auch nur ein dünner Schutz. Zumal sich die
Einwahl sicherlich manchmal zu einem Geduldsspiel entwickelt. Ich sehe hier
nur wenig Chancen den Usern a) die Freude am arbeiten oder b) mir die
Freude am administrieren nicht zu nehmen ;-)

Zumal sich ein erster Test mit einem VPN-Zugang als nicht sonderlich
performant herausgestellt hat. Ein zügiges Arbeiten war auch bei nur einer
Verbindung nicht möglich. Das wird aber u.a. auch an der verwendeten
Hardware (Bintec VPN 25) gelegen haben. In einer Teststellung haben wir
damals zwei Bintec's via VPN verbunden und kamen auch so - unter
Laborbedingungen - nicht über 800KBit/s.

> Bei der TS-Lösung ist das praktisch ausgeschlossen, denn es kann ja
> vom Client aus außer Tastatur- und Mauseingaben nichts über die RDP
> oder ICA Verbindung ins LAN gelangen - wenn man nicht zusätzlich
> konfiguriert, daß im Terminalfenster auch auf die lokalen Platten des
> Client ein Zugriff möglich ist und auf diesem Weg Daten kopiert werden.

Was ja schon mal nicht ganz schlecht wäre ;-)

> [...]
> Und nun zu Deinen Anforderungen: Wenn Dir zunächst mal wichtig ist,
> - daß keine Daten die Firma verlassen und auf Clients außerhalb liegen
> - daß keine Viren ins LAN eingeschleppt werden
> dann ist eine TS-Implementierung das Richtige.
> Dazu brauchst Du aber kein Citrix und kein SSL. Der Windows-Terminalserver
> und das RDP enthalten da bereits alles war nötig ist!
> Es muß in der Firewall der RDP-Port geöffnet und an den TS weitergeleitet
> werden. RDP verschlüsselt von Haus aus die Daten, das heißt zum Mitlesen
> der Daten im Internet (was man ja mit SSL/VPN verhindern will) kann es nicht
> kommen. Mehr dazu:
> http://www.microsoft.com/technet/prodtechnol/Win2KTS/evaluate/featfunc/rdpfperf.mspx

Bislang habe ich noch kein schlagendes Argument *gegen* TS gelesen ;-)
Jedoch bedarf es bei der Authentifizierung der sich anmeldenden User
sicherlich einer gründlichen Überarbeitung gegen die zugegeben laue
Passwortrichtlinie.

> [Serverauthentifizierung]
>
> Problem, das jetzt noch besteht, ist die Clientauthentifizierung.
> Auch unbekannte und nicht erwünschte Clients können von außen eine
> Verbindung aufbauen. Einzige Bremse, um nicht an eine TS-Sitzung und
> damit in das Netz kommen, ist Name und Passwort.
> Hierfür gibt es eine Menge Möglichkeiten, z.Bsp. Smartcard-Authentifizierung
> seitens der Einwahl Clients. Da mußt Du Dich ggf. nochmal umtun, wenn
> Du über Name und Passwort hinaus eine sicherere Lösung haben willst
> (ohne zusätzlich wieder auf VPN zurückgreifen zu müssen - siehe ersten Link).
> [...]

Ich denke das sollte man aber unter Kontrolle bekommen. Es wären nicht so
viele Remoteuser (Ich rechne derzeit mit ca. 10 und kann langfristig
vielleicht mit 20 rechnen), dass man da kein Konzept erarbeiten könnte.

Jedoch bleiben noch zwei Fragen beim Einsatz eines TS-Servers.

a) Der prinzipielle Einsatzzweck. Bislang dachte ich bei TS an reine
Applicationserver. Kommen TS-Server tatsächlich auch zu veröffentlichen von
reinen Fileservern zu Einsatz?

b) Die Performance. Bei der Citrixverbindung, der ich staunend beiwohnen
durfte, war ich überrascht über die relativ gute Performance. Ich weis
jetzt zwar nichts über die Internetanbindung der Gegenstelle aber mehr als
die zwei MBit, mit welchen wir ans Internet angebunden sind dürfte sich da
auch nicht vorfinden lassen.

Vielen Dank auch für deine ausführlichen Informationen. Ich werden, wenn
der ganze Exchangetrubel dann vorbei ist, mal eine TS-Testinstallation
aufbauen und ein paar von unseren Usern das Look&Feel testen lassen und ich
kann mich mal in die technischen Details einer solchen Lösung einarbeiten.
Auf alle Fälle scheinen sich doch noch Alternativen zu VPN zu ergeben.

Bye Tom
--
"Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)
.

Relevant Pages

  • Re: Multi-homed server and VPN
    ... The idea was to separate the LAN traffic from the VPN ... bound for the Internet go to the gateway 192.168.1.251, ... I have 192.168.1.251 as the router ...
    (microsoft.public.windows.server.networking)
  • Re: Using a home T-1 line to evade company filtering
    ... >> What you don't understand is that such policies are in place to protect ... >> the corporate LAN from viruses and other malware. ... wants to - there is not promise of internet service just because you are ... > really take much of an issue with you loggin in via VPN, ...
    (comp.security.firewalls)
  • [XP Home SP2] Gedenkpause kurz nach Einwahl ins Internet
    ... Es geht um den Rechner eines Freundes. ... und anschließend zum Einspielen aller Updates war der Rechner per LAN ... Verbindung mit dem Internet, per Einwahl-Verbindung. ...
    (microsoft.public.de.german.windowsxp.networking)
  • Re: VPN Anfängerfrage
    ... >> Testen den Notebook vom LAN nehmen und mich über ein anderes Netz ... >> für VPN eingerichtet und musste beim Notebook noch ein Protokoll ... >> ob die Verbindung funktioniert, den ich habe ja die laufende LAN ... > - enter, enter, enter ...
    (microsoft.public.de.german.windowsxp.networking)
  • RE: VPN poptop
    ... I'm using pptpd on my server to enable clients on LAN to access ... Users dial VPN to the server,log in and can surf freely. ... I would like to enable internet users to access LAN resources. ...
    (freebsd-questions)
Loading