In der Artikelserie Security-as-a-Service befassen wir uns mit diversen Ansätzen, um die Sicherheit Ihrer Cloudumgebung zu erhöhen. In diesem Artikel möchten wir Ihnen demonstrieren, wie man den Zugriff per RDP auf virtuelle Maschinen in Azure beschränken kann. Denn, wenn man bei der Installation einer virtuellen Maschine die Einstellungen nicht anpasst, dann ist der Zugriff aus dem Internet uneingeschränkt möglich.

In Azure bereitgestellte Windows VMs sind in der Grundeinstellung per RDP auf dem Standardport 3389 (TCP) über das Internet erreichbar. In produktiven Umgebungen werden die RDP Zugriffe auf diese VMs meist auf ein privates Netzwerk begrenzt, z.B. durch Einsatz einer VPN Site to Site Verbindung an das Unternehmensnetzwerk. Der Zugriff von außen wird dann unterbunden.

Für produktive Umgebungen ist die Absicherung per VPN eine sehr gute und praktizierte Lösung. Wenn jedoch Azure VMs nur für Test oder für Vorführzwecke eingesetzt werden sollen, ist eine Absicherung per VPN oft zu aufwendig oder gar nicht erst möglich.

Um den RDP Zugang einer Azure VM dennoch besser zu schützen, können die möglichen Zugriffsquellen eingeschränkt, sowie der Port geändert werden. Durch die Änderung des Ports wird die Azure VM vor automatisierten Portscans versteckt, die gezielt das Internet nach Computern mit erreichbaren RDP Port 3389 durchsuchen. Dadurch werden massenhaft durchgeführte und automatisierte Angriffe auf die so versteckte Azure VM erschwert.

Das Ändern des Ports stellt nur ein Hemmnis für automatisierte Portscans dar und ist für sich alleine genommen keine geeignete Sicherheitsmaßname. Mehr dazu ist hier zu finden: “Security by obscurity

An dieser Stelle wird auf die Absicherung von Azure ARM VMs durch die Einschränkung auf berechtigte Quell-IPs, sowie dem Ändern des Zielports eingegangen.

Einschränken des RDP-Zugriffs auf Azure VMs anhand von Quell-IPs

Das Einschränken der Quell-IPs ist schnell erledigt und schränkt die Möglichkeiten für einen Angriff bereits erheblich ein.

Navigieren Sie nach der Anmeldung am Azure Portal zu dem gewünschten virtuellen Computer und weiter zu Netzwerkschnittstellen -> Netzwerkschnittstelle auswählen -> Netzwerksicherheitsgruppe

Network Security Group (NSG) 2

An dieser Stelle wird die Eingangsregel für RDP bearbeitet, diese wird bei der Installation angelegt, wenn Sie keine Änderung durchführen.

Network Security Group (NSG) 3

Unter dem Punkt Quelle legen Sie einen beliebiger Adressbereich oder eine einzelne IP an.

Network Security Group (NSG)

Nach der Bestätigung mit Speichern, können nur noch Computer mit den angegebenen Quell-IPs auf die Azure VM per RDP zugreifen.

Ändern des externen Ports 3389 für RDP auf einen beliebigen Port

Für dieses Vorgehen wird ein Load Balancer benötigt, der im 1. Schritt erstellt und die öffentliche IP des Servers im 2. Schritt deaktiviert wird.

1. Schritt:

Nach der Anmeldung am Azure Portal erstellen Sie einen neuen Load Balancer.

Load Balancer 1

Legen Sie eine neue öffentliche IP an und fügen Sie den Load Balancer zur selben Ressourcengruppe hinzu in der sich auch die abzusichernde VM befindet.

Load Balancer 2

Eine statische IP ist an dieser Stelle zu empfehlen aber nicht zwingend erforderlich.

Public IP

Nach der erfolgreichen Erstellung des Load Balancers, konfigurieren Sie eine NAT-Eingangsregel.

Load Balancer 3

In diesem Fenster geben Sie einen beliebigen Zielport an. Im Beispiel ist das der Port 12345. Dieser wird mit dem Zielcomputer verknüpft und die private Netzwerkschnittstelle als Ziel ausgewählt. Da der Service RDP erreich werden soll, muss auch der Zielport 3389 angepasst werden. Wie bereits oben erwähnt ist das Ändern des Ports alleine keine echte Sicherheitsmaßnahme. Wir empfehlen zusätzliche Maßnahmen zu ergreifen.

Load Balancer 4

2. Schritt

Deaktivierung der Öffentlichen Server IP

Deaktivieren der externen IP

Deaktivieren der externen IP 2

Deaktivieren der externen IP 3

Die VM ist ab diesen Punkt nur noch über den Load Balancer und dessen Eingangsregel von extern erreichbar.

Fazit

Mit den beiden Schritten haben Sie eine Azure VM grundlegend abgesichert. Ein externer RDP Zugriff ist nur noch von einer definierten Auswahl an Computern möglich. Auch wird die zufällige Entdeckung des RDP Zugangs durch Portscans erschwert, da der Standardport geändert wurde. Für Tests und Demos ist das sicherlich eine praktikable und günstige Alternative zur Absicherung per VPN. Im produktiven Einsatz würden wir dennoch zusätzliche Maßnahmen empfehlen.

Wenn Sie Fragen haben kommen Sie gerne auf uns zu. Wir unterstützen Sie beim sicheren Betrieb Ihrer Lösung in der Cloud.