Bundesamt für Sicherheit in der Informationstechnik

M 5.164 Sichere Nutzung eines Terminalservers aus einem entfernten Netz

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Verbinden sich Terminalserver und deren Clients über ein unsicheres Netz, ist primär ein wirksamer Schutz der Netzübergänge durch Sicherheitsgateways zu gewährleisten. Zudem sind Vorkehrungen zu treffen, damit die Kommunikation nicht belauscht, verändert oder gestört werden kann. Das weitere Vorgehen hängt von der Auswahl der nachfolgend differenzierten Verbindungsarten ab.

Einige Terminalserver-Systeme bieten eine protokollinterne Verschlüsselung an. In der Standardkonfiguration ist diese jedoch üblicherweise auf die Anforderungen in lokalen Netzen ausgelegt. Regulär sind daher geringe Schlüssellängen voreingestellt, die in einem kontrollierbaren Netz ausreichen könnten. Häufig wird hier auch auf die bidirektionale Verschlüsselung zwischen Terminal und Terminalserver zugunsten einer Ressourcen schonenderen Verbindung verzichtet. Lediglich die Benutzereingaben, jedoch nicht die von dem Server zurückgesandte Bildschirmausgabe wird dann verschlüsselt. Daneben können innerhalb des Protokolls weitere Datenströme (Virtual Channels), etwa zur Anbindung von lokalen Datenträgern, Schnittstellen oder Druckern des Clients, unverschlüsselt eingebettet werden.

Um die Kommunikation über ein unsicheres Netz zu schützen, ist daher vorab zu prüfen, welche kryptographischen Verfahren und Schlüssellängen in der zu betreibenden Konfiguration Verwendung finden und auf welche Elemente der Kommunikation die Verschlüsselung angewendet wird. Eine sichere Kommunikation kann nur dann gewährleistet werden, wenn der gesamte Datenstrom einschließlich der Authentisierung, in Sender- und Empfängerrichtung abgesichert wird. Geeignete Verfahren der protokollinternen Verschlüsselung nutzen dabei derzeit Secure Socket Layer (SSL) oder Transport Layer Security (TLS) mit mindestens 128 Bit Schlüssellänge.

In die Betrachtung sind sowohl die Einstellungen des Servers, als auch die des Clients einzubeziehen. Hierbei müssen die Einstellungen des Servers und die des Clients überstimmen, um einen gesicherten Verbindungsaufbau administrativ zu erzwingen.

Stehen, wie bei dem X-Window System, keine protokollinternen Verschlüsselungsmechanismen zur Verfügung, kann die Absicherung der Verbindung auch durch einen kryptographisch gesicherten Tunnel realisiert werden. Für das X-Window System hat sich dabei die Methode X11-Forwarding mit Hilfe der Secure Shell (M 5.64 Secure Shell ) etabliert. Ferner existiert mit NX eine modifizierte Alternative zum X11-Protokoll, die eine sichere Authentikation und den verschlüsselten Transport von Terminalserver-Sitzungen mit X-Window, RDP und VNC ermöglicht.

Zum Schutz von Terminalserver-Sitzungen kann auch ein virtuelles privates Netz (VPN) einsetzt werden (siehe auch B 4.4 VPN ). Der Vorteil dieser Vorgehensweise ist die automatische Kapselung aller Elemente des Datenstroms durch das VPN. Auf eine weitergehende Analyse der Sicherheit des Terminalserverprotokolls kann hierbei verzichtet werden, da eine sichere Anmeldung und Verschlüsselung durch das VPN garantiert wird.

Bei Verwendung eines VPN ist jedoch zu beachten, dass sich der Zugriff des entfernten Clients auch auf andere Dienste als den des Terminalservers erstrecken kann. Des Weiteren sind protokollinterne Verfahren auf die technischen Besonderheiten der jeweiligen Terminalserver-Umgebung optimiert und können daher in der Regel effizienter die verfügbare Bandbreite nutzen, als virtuelle private Netze.

Über den Schutz des Perimeterbereichs und des Übertragungsweges hinaus sind die betreffenden Client-Systeme zu berücksichtigen. Insbesondere Zugriffe über Rechner in öffentlichen Bereichen, wie Internetcafés, stellen ein hohes Sicherheitsrisiko dar, da Informationen wie der Anmeldename und das Passwort gegebenenfalls durch Dritte mitgelesen werden können. Auch mobile IT -Systeme und stationäre Telearbeitsplätze sind schwer kontrollierbar und können von ihrem ursprünglich autorisierten Softwarestand abweichen.

Daher sind besonders hohe Anforderungen an den Anmeldeprozess zu stellen, wenn der Zugang über unsichere Clients erlaubt werden soll. In diesem Szenario könnte somit mindestens eine Zwei-Faktor-Authentisierung genutzt werden. Hierbei wird beim Autorisierungsvorgang z. B. zusätzlich zu Benutzernamen und Passwort eine nur einmal gültige Kennung, auch One-Time-Password (OTP) genannt, verlangt. Diese Kennung kann durch ein mobiles Gerät (Token) erzeugt werden. Der Besitz des Gerätes und das Wissen um Benutzernamen und Passwort sind hierbei sich ergänzende Sicherheitsmerkmale, die dem Missbrauch einer einmalig erspähten Benutzeranmeldung entgegenwirken. Besonders in dem Fall, in dem über Portallösungen, wie zum Beispiel über eine Weboberfläche über das Internet auf Dienste des Terminalservers zugegriffen werden kann, sollte eine Zwei-Faktor-Authentisierung in Betracht gezogen werden.

Darüber hinaus ist es sinnvoll, Abstufungen im Berechtigungskonzept für den Zugriff auf die verschiedenen möglichen Informationskanäle, in Abhängigkeit von der Sicherheit des Clients, einzuführen. Öffentlich zugänglichen IT-Systemen sollte der Dateiaustausch zwischen Terminalserver und Terminal sowie der Zugriff auf Schnittstellen verwehrt bleiben. Zudem sollte es den Benutzern nicht erlaubt sein, Inhalte der Zwischenablage des Servers auf den Client zu übertragen.

Verschiedene Terminalserver-Lösungen bieten eine Analyse des Clients während des Anmeldevorgangs an. Hierbei wird der Hardware- und Softwarestand sowie die Aktualität des Virenschutzes abgefragt und mit den hinterlegten Richtlinien verglichen. Auf diese Weise kann durch eine technische Maßnahme eine Unterscheidung zwischen sicheren und unsicheren Clients getroffen werden.

Prüffragen:

  • Ist die Terminalserver-Umgebung durch ein Sicherheitsgateway geschützt?

  • Werden alle Informationen zum oder vom Terminalserver in einem verschlüsselten Datenstrom übertragen?

  • Wird die Übertragung von Informationen vom Server zum Client über die Zwischenablage unterbunden, wenn der Zugriff auf Terminalserver über unsichere Clients erfolgt?

  • Wird eine Zwei-Faktor-Authentisierung z. B. mittels Einmalpasswort verlangt, wenn der Zugriff auf Terminalserver über unsichere Clients erfolgt?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK