Forum » Informacijska varnost » remote desktop - varnost
remote desktop - varnost
karafeka ::
Zdravo
Povejte mi, ali je pametno imeti na računalniku z xp (sp3, redno posodabljan) vedno omogočen dostop (za uporabnika z administratorskimi pravicami) za remote dosktop ? Na računalniku je tudi avast požarni zid.
Uporabnik se seveda prijavlja z geslom, menjava gesla vsake toliko časa (1 mesec).
Kolikšna je verjetnost, da nekdo tretji zlorabi račun in pridobi dostop na ta računalnik prek interneta (s kakim bruteforce napadom in podobnimi) ?
Sicer se remote desktop uporablja samo v lanu, vendar je IP enak zunanjemu (ni routerja, le switch).
Povejte mi, ali je pametno imeti na računalniku z xp (sp3, redno posodabljan) vedno omogočen dostop (za uporabnika z administratorskimi pravicami) za remote dosktop ? Na računalniku je tudi avast požarni zid.
Uporabnik se seveda prijavlja z geslom, menjava gesla vsake toliko časa (1 mesec).
Kolikšna je verjetnost, da nekdo tretji zlorabi račun in pridobi dostop na ta računalnik prek interneta (s kakim bruteforce napadom in podobnimi) ?
Sicer se remote desktop uporablja samo v lanu, vendar je IP enak zunanjemu (ni routerja, le switch).
- spremenil: karafeka ()
blackbfm ::
Ni veliko možnosti sicer pa previdnost ni odveč. Router je zelo fajn stvar v takem primeru.
In Extremis ::
Sicer se remote desktop uporablja samo v lanu, vendar je IP enak zunanjemu (ni routerja, le switch)
Uh, I don't get it... LAN IP-ji niso routable.
Glede RD: poskrbi za osnovno varnost, torej spremeni default port, enable logging (tako boš lahko odkril BF napade), uporabljaj kvalitetna gesla (+15 znakov, črke, številke, posebni znaki) in glej, da se datoteka .rdp (remote desktop profile) ne znajde v 774 (world readable) direktoriju
neres ::
A kdo ve če se da izklopit to spodnje okno pri povezovanju:
Nekoč tega spodnjega okna sploh ni bilo... nevem al se je začelo pojavljat po posodobitvah ali v drugačni verziji Windowsev (sicer sta bili obe verziji XP SP2 pro corporate).
Nekoč tega spodnjega okna sploh ni bilo... nevem al se je začelo pojavljat po posodobitvah ali v drugačni verziji Windowsev (sicer sta bili obe verziji XP SP2 pro corporate).
solatko ::
To je geslo za uporabniški račun, desktop remote boš brez tega težko vzpostavu, vista ima to lepše urejeno.
imagodei ::
blackclw> "Ni veliko možnosti sicer pa previdnost ni odveč. Router je zelo fajn stvar v takem primeru."
In kaj točno spremeni router v tem primeru? Default port 3389 je ITAK odprt. Kdor ima 5 minut časa oz. ima port scanner, te lahko najde na internetu. Potem je pa zadeva stvar exploitov oz. kakega brute forca.
Proti zero day exploitu itak nimaš kaj, drugače pa seveda updataš sistem. Pametno je seveda spremeniti default port na nekaj drugega.
Proti brute forcu se pa da precej naredit z Lokalnim varnostnim pravilnikom oz. pravilnikom skupine (Security policy oz. secpol.msc ter Group policy oz. gpedit.msc). V slednjem najdeš Lokalni varnostni pravilnik v Computer configuration > Windows Settings > Security settings.
Znotraj tega nastavi pravilnike v vozlu Accoutn policy > Account Lockout Policy:
- Account Lockout threshold > npr. 5 poskusov
- Account Lockout duration > npr. 30 min
- Reset account lockout counter after > npr. 30 min
Poleg tega lahko nastaviš še beleženje logon/logoff dogodkov in sicer v vozlišču Local Policies > Audit Policy:
- Audit account logon events > Success, Failure
- Audit logon events > Success, Failure
Konkretno te nastavitve pomenijo, da se ti bo možnost prijave zaklenila po 5 neuspelih poskusih in bo lockout trajal 30 minut. Na ta način precej zmanjšaš možnosti za brute force. Uspešne in neuspešne poskuse prijave pa boš lahko spremljal v Event Viewerju (Computer management).
Dodatno lahko v Pravilniku skupine nastaviš v vozlišču Account policy > password policy še pravila za gesla.
In kaj točno spremeni router v tem primeru? Default port 3389 je ITAK odprt. Kdor ima 5 minut časa oz. ima port scanner, te lahko najde na internetu. Potem je pa zadeva stvar exploitov oz. kakega brute forca.
Proti zero day exploitu itak nimaš kaj, drugače pa seveda updataš sistem. Pametno je seveda spremeniti default port na nekaj drugega.
Proti brute forcu se pa da precej naredit z Lokalnim varnostnim pravilnikom oz. pravilnikom skupine (Security policy oz. secpol.msc ter Group policy oz. gpedit.msc). V slednjem najdeš Lokalni varnostni pravilnik v Computer configuration > Windows Settings > Security settings.
Znotraj tega nastavi pravilnike v vozlu Accoutn policy > Account Lockout Policy:
- Account Lockout threshold > npr. 5 poskusov
- Account Lockout duration > npr. 30 min
- Reset account lockout counter after > npr. 30 min
Poleg tega lahko nastaviš še beleženje logon/logoff dogodkov in sicer v vozlišču Local Policies > Audit Policy:
- Audit account logon events > Success, Failure
- Audit logon events > Success, Failure
Konkretno te nastavitve pomenijo, da se ti bo možnost prijave zaklenila po 5 neuspelih poskusih in bo lockout trajal 30 minut. Na ta način precej zmanjšaš možnosti za brute force. Uspešne in neuspešne poskuse prijave pa boš lahko spremljal v Event Viewerju (Computer management).
Dodatno lahko v Pravilniku skupine nastaviš v vozlišču Account policy > password policy še pravila za gesla.
- Hoc est qui sumus -
blackbfm ::
Router je meja med LAN in WAN. Recimo da je za routerjem LAN relativno varen pred zunanjimi vplivi. Ne razumem kaj misliš s tistim portom. Kolikor sem se igral z različnimi routerji še noben ni bil vnaprej konfigureran za določen port.
Zgodovina sprememb…
- spremenilo: blackbfm ()
matter ::
imagodei : ne pretiravej.
Če bi vedu kaj router je, potem tega nebi govoril.
Če si za routerjem maš komot lahko remote vklopljen in ne bo nobenega rizika.
Če imaš kak wireless pa zna biz zadeva že bolj občutljiva.
lp,
Če bi vedu kaj router je, potem tega nebi govoril.
Če si za routerjem maš komot lahko remote vklopljen in ne bo nobenega rizika.
Če imaš kak wireless pa zna biz zadeva že bolj občutljiva.
lp,
Grem basket pa bom neloke metal
CoolBits ::
Imagodei ima kar prav... kako boš ti od zunaj dostopal do RDP brez odprtega porta na routerju na ip računalnika?
Spremeniš default port in kot je imagodei napisal... drugega nimaš kaj dosti.
Spremeniš default port in kot je imagodei napisal... drugega nimaš kaj dosti.
AndrejS ::
Odzunaj se da lepo dostopat do RDP brez odprtega porta na routerju in je dosti bolj varno.
Zadeva se imenuje VPN.
Zadeva se imenuje VPN.
matter ::
Ja zdej je tu že vse pomešano. Jaz sem govoril za LAN uporabo, če pa ima port forwardiran mu pa ostaneta 2 varna dostopa:
1. VPN pa port forward off
2. Port forward le za določene source fiksne IPje.
lp,
1. VPN pa port forward off
2. Port forward le za določene source fiksne IPje.
lp,
Grem basket pa bom neloke metal
imagodei ::
@blackclw,
Mal sva se narobe razumela in poleg tega sem jaz malo narobe bral post od karafeke (resnici na ljubo je tudi spisan bolj tako-tako).
Port na routerju seveda ni vnaprej skonfiguriran. Moj point je bil, da če dostopaš na lokalno mašino od *zunaj*, moraš imeti skonfiguriran port na routerju, po defaultu je to 3389.
V osnovi je pa problem tegale (sedaj, ko sem bolje prebral karafekin post), da človek sploh nima LAN-a, ker ne uporablja routerja, ampak switch. Če bi RDC uporabljal izključno v LAN okolju z običajno konfiguriranim routerjem, se z varnostjo glede RDC-ja sploh nima kaj ukvarjat. Ker pa *nima* LAN-a in ker je njegov IP javen, je njegov problem v osnovi čisto drugje.
@AndrejS:
VPN bi bil IMHO kar malo overkill tukaj, kaj praviš? Je treba kar malo konfigurirat. Glede na to, da itak nima routerja...
@karafeka:
kaj pa TeamViewer?
@matter:
Zate zgolj tri črke: "z", "e", "h". Skratka, zeh.
Mal sva se narobe razumela in poleg tega sem jaz malo narobe bral post od karafeke (resnici na ljubo je tudi spisan bolj tako-tako).
Port na routerju seveda ni vnaprej skonfiguriran. Moj point je bil, da če dostopaš na lokalno mašino od *zunaj*, moraš imeti skonfiguriran port na routerju, po defaultu je to 3389.
V osnovi je pa problem tegale (sedaj, ko sem bolje prebral karafekin post), da človek sploh nima LAN-a, ker ne uporablja routerja, ampak switch. Če bi RDC uporabljal izključno v LAN okolju z običajno konfiguriranim routerjem, se z varnostjo glede RDC-ja sploh nima kaj ukvarjat. Ker pa *nima* LAN-a in ker je njegov IP javen, je njegov problem v osnovi čisto drugje.
@AndrejS:
VPN bi bil IMHO kar malo overkill tukaj, kaj praviš? Je treba kar malo konfigurirat. Glede na to, da itak nima routerja...
@karafeka:
kaj pa TeamViewer?
@matter:
Zate zgolj tri črke: "z", "e", "h". Skratka, zeh.
- Hoc est qui sumus -
neres ::
solatko: tisto drugo okno ni potrebno, geslo lahko vpišeš kasneje. in z vidika varnosti se mi ne zdi pametno vpisovat tja podatkov, sploh če še obkljukaš "remember my password".
karafeka ::
Zajebal sem že pri vprašanju, ja.
Prej sem imel siol in pppoe (in LAN), sedaj pa t-2 in dhcp in jaz (idiot) sem mislil, da gre LAN preko switcha (huba), kljub temu da imajo zunanje ip-je.
Imagodei in ostali, hvala za nasvete. Ne vem zakaj microsoft ne omogoči lažjo sprememba porta za rd, kot pa skozi register.
Prej sem imel siol in pppoe (in LAN), sedaj pa t-2 in dhcp in jaz (idiot) sem mislil, da gre LAN preko switcha (huba), kljub temu da imajo zunanje ip-je.
Imagodei in ostali, hvala za nasvete. Ne vem zakaj microsoft ne omogoči lažjo sprememba porta za rd, kot pa skozi register.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| ! | [Router] Kako forwardirat oz. odpret porte (strani: 1 2 3 4 5 6 7 8 )Oddelek: Omrežja in internet | 329066 (29522) | ignats |
| » | remote desktopOddelek: Operacijski sistemi | 1988 (1273) | gorenjc |
| » | [Windows] Remote desktop prijava pri računu brez geslaOddelek: Operacijski sistemi | 1973 (1394) | ebatis |
| » | Psyb0t - zlonamerni črv, ki napada Linux mrežno opremoOddelek: Novice / Varnost | 5269 (3434) | Azrael |
| » | VNC+ varnost + dinamični IP. Kako ??Oddelek: Omrežja in internet | 4190 (3206) | flisko |