Slo-Tech

» »

SI-CERT 2017-04 / Okužbe z izsiljevalskimi virusi preko storitev za oddaljen dostop

SI-CERT 2017-04 / Okužbe z izsiljevalskimi virusi preko storitev za oddaljen dostop

SeMiNeSanja ::

SI-CERT je na svoji strani objavil opozorilo pred vse večjim številom zlorab oddaljenega omizja in okužb z izsiljevalskimi virusi preko tega dostopa.

Pa sem se nekako spraševal, kdo za vraga pa še ima odprt RDP port z interneta, kaj ne ve že vsako teslo, da je to popolni no-go?

Pogledam na Shodan (stran ki pridno indeksira različne internetu izpostavljene servuse) in žalostno ugotovim, da je samo v Sloveniji takih izpostavljenih sistemov kar 3.650 - kar so jih oni 'popisali'. Ups!

Kaj res ni drugega načina, kot da jih prizadane izsiljevalski virus, da jih bo srečala pamet? Ali tudi to ne bo zadoščalo?

Ali je res tako težko vzpostaviti VPN povezljivost? Pa ne PPTP ampak SSL VPN ali IPSec oz. L2TP!

Razumem, da je to malo komplicirano za povprečnega domačega uporabnika. Nebi pa smelo biti vprašanje v poslovnih okoljih, pa četudi se gre za mikro podjetje, ki premore zgolj en računalnik.

Žal niso vedno krivi zgolj uporabniki - če vidim na Shodanu, da je odprt nek 'Blagajna-PC', se mi poraja sum, da je vzdrževalec blagajniške aplikacije tisti grešni kozel, ki jim je zakuhal zadevo in uporabniki sploh ne vedo, da imajo izpostavljeno blagajno. Se manjka samo še eno šibko geslo, pa bodo lahko stregli brezplačne kave ali malice, saj jim blagajna ne bo delovala.

Torej dajte preveriti, če je vaš računalnik res nedostopen z interneta, četudi mislite, da naj bi to bil. Če to sami ne znate, vprašajte kakšnega znanca, ki zna kaj takega preveriti. Če potrebujete oddaljen dostop do njega, pa si to uredite preko neke variante VPN povezav. Ćasi, ko si se lahko s temi rečmi hecal so mimo!

Mr.B ::

Napadalci gesla za dostop najpogosteje pridobijo preko napada s surovo silo s poskušanjem različnih kombinacij najpogostejših uporabniških imen in gesel,

Veliko sreče, po pedesetih poizkusih se račun zaklene.
Metora je enako možnost vdora preko RDP-ja, kot vdeo preko katerekoli web strani etc...
Če boš imel VPN brez zahtevane avthentikacije prek amsrt card, si nekako na istem...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

VPN (odvisno sicer od variante) se da kar precej zakunštvat, tako da če napadalec nima vseh parametrov, mu tudi password na koncu ne koristi.

Štos pri RDP pa je to, da je komaj par let, ko je bila cela hajka, ker so odkrili ranljivost v RDP-ju, pa se je na veliko krpalo, kdor je bil pameten, pa je zadevo čisto umaknil z interneta. Ampak izgleda, da se bo morala zgodovina še ene parkrat ponoviti, da bo ljudjem kapnilo, da se internetu izpostavlja samo najnujnejše zadeve.

Petdeset poskusov predenj se account zaklene? Pri meni se že po parih (mislim da 5-ih) - v lokalnem omrežju.
Ampak drži - napadalec account tako zaklene v parih sekundah oz. minutah. Če je baraba in se potrudil nabrat potencialna realna uporabniška imena, ti naredi celo štalo, da boš namesto jutranje kave moral najprej odklepat accounte polovice uporabnikov v podjetju - če nisi tudi sam med tistimi, ki se jim je account zaklenil.....

Mr.B ::

SeMiNeSanja je izjavil:

VPN (odvisno sicer od variante) se da kar precej zakunštvat, tako da če napadalec nima vseh parametrov, mu tudi password na koncu ne koristi.

Štos pri RDP pa je to, da je komaj par let, ko je bila cela hajka, ker so odkrili ranljivost v RDP-ju, pa se je na veliko krpalo, kdor je bil pameten, pa je zadevo čisto umaknil z interneta. Ampak izgleda, da se bo morala zgodovina še ene parkrat ponoviti, da bo ljudjem kapnilo, da se internetu izpostavlja samo najnujnejše zadeve.

Petdeset poskusov predenj se account zaklene? Pri meni se že po parih (mislim da 5-ih) - v lokalnem omrežju.
Ampak drži - napadalec account tako zaklene v parih sekundah oz. minutah. Če je baraba in se potrudil nabrat potencialna realna uporabniška imena, ti naredi celo štalo, da boš namesto jutranje kave moral najprej odklepat accounte polovice uporabnikov v podjetju - če nisi tudi sam med tistimi, ki se jim je account zaklenil.....

Izgovori...kot da ni bilo za VPN kakšnega exploita. Torej če ni explojta si "praktično" enako varen kot z navadnim VPN-jem.

Ja ti kar mej pet poizkusov. Uporabnik ima tri naprave, pet poizkusov s tremi napravami je avtomatičen zaklep. Če se random ponavlja za uporabnika napačne user name in password ni moč ugotoviti ali se je uporabnik zatipkal... če pa imaš zaporedoma 20+ napačnih vpisov z napačnim geslom, pa je verjetno že nekaj na tem.... potem pa to pomnoži z neka tisoč uporabniki, ki morajo na tri do pol leta menjat gesla... verjetno rabis samo ene par ljud imeti zaposlene, da odklepajo račune, dokler uporabnik ne zamenja gesla.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

Kdor ima nekaj tisoč uporabnikov ima:
a) helpdesk
b) self-service portal za password reset

Ne razumem, zakaj misliš, da je neki skripti težje probat 50 pogosto uporabljenih gesel, kot pa 5. Dejansko samo povečaš možost, da se na enem od accountov najde šibko geslo. Pa lahko še tako preverjaš gesla - nekje se vedno najde kakšen genialec, ki bo zafrknil stvar že na samem geslu.

Kaj hočeš povedat, da so VPN brezvezni? In kako potem ti to urejaš, če imaš 'nekaj tisoč uporabnikov', pa bi jih 'nekaj sto' občasno delalo od doma ali pa do svojega računalnika dostopalo s terena? Boš zakupil C klaso, da boš lahko vsak RDP dal na svoj IP naslov? Mahiniral s porti in jih preusmerjal? Aja, obstaja en gateway za RDP...noja, pa smo potem spet pri vprašanju z ugibanjem gesel in zaklepom accountov zaradi ekstenzivnega probavanja...

Sicer pa ne vem zakaj izpostavljaš podjetja z nekaj tisoč uporabniki, kakršnih je v Sloveniji zgolj peščica. Povprečno Slovensko podjetje ima namreč cca. 4,4 zaposlenega, pa še ti nimajo vsi delovnega mesta z računalnikom! Celo podjetij z več kot 250 zaposlenimi imamo komaj malo več kot 300! Tipično 'malo večje' podjetje ima nekje med 50 in 250 zaposlenimi, takih pa je nekje okoli 2000. O katerih se potemtakem bolj splača razpravljati? O mainstream-u ali o koncernih - ki običajno imajo zadeve že takointako 'pošlihtane'. Pa če že pogleduješ proti podjetjem z 'nekaj tisoč uporabniki' - katero tako podjetje ima za zaposlene omogočen direktni RDP dostop do službenih računalnikov?

Mr.B ::

?
Ja imaš password reset s function unlock account without new password po možnosti s staro vrednostjo :D.
Jaz na dnevni ravni vpisem geslo zagotovo 3x napačno, ker pač moram imeti nekaj gesel v glavi, ki jih menjam na vsake 3 mesece, ostalo je Keepass. SEdaj a boš vsakič klical uporabnika, ko bo tvoj nadzorni sistem javil, vpsno napačno geslo ? dej no.

Drugo politika gesel obstaja od pamtiveka, ena izmed opcij je seveda da pač ne moreš vpisati simple gesla, pri tem ti NSA baza gesel ne bo pomagala. V bistvu edini način da bi te tako po tvoji simmple metodi vdrli v sistem, če bi uporabnik menjal vsa gesla na vseh web straneh istočasno, ko zamenja geslo v podjetju, in bi nekdo nastavil web stran, kjer bi uporabnik vpisal geslo. Še huje, imaš možnost tudi nastaviti v kakšnem časovnem intervalu moraš vpisati napačno geslo, da se ti račun ne zaklene. Torej veliko sreče poizkušati vdrati v tak sistem.

VPN seveda niso brezvezni, pri nas je uporaba VPN z dvofaktorsko avthentikacijo, in potem šele dotop do dvofaktorske avthentikacije na terminalski server, odkoder lahko potem sploh dostopam do drugih resoursov.
Seveda me pa zanima, za koliko WEB storitev, imaš ti pri tvojih strankah poskreblejn dvofaktorsko avthentikacijo. Res da ne spremljam stanja v sloveniji, ampak zagotovo so redke ki imaj to implementirano za Exchange, Sharpoint, kaj šele za O365...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Mavrik ::

Em... a ne uporabljate za VPN privatne ključe namesto gesel? Tisto je vseeno nekoliko težje napasti, še posebej če ima vsak uporabnik svoj ključ (in ga je potem treba najprej ukrasti z uporabnikovega sistema kar precej poveča težavnost vdora).
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

SeMiNeSanja ::

Mavrik je izjavil:

Em... a ne uporabljate za VPN privatne ključe namesto gesel? Tisto je vseeno nekoliko težje napasti, še posebej če ima vsak uporabnik svoj ključ (in ga je potem treba najprej ukrasti z uporabnikovega sistema kar precej poveča težavnost vdora).

Kot vidiš, večina še VPN ne uporablja, kaj šele, da bi se avtenticirali z 2FA ali certifikati.
Mislim da se certifikatov večinoma ustrašijo zaradi mgmt-a ključev....

V bistvu je največji problem neznanje. Manjka se priložnosti, da bi se te reči lahko kdaj kje videlo v živo, slišalo par nasvetov,.....

darkolord ::

SeMiNeSanja je izjavil:

Mislim da se certifikatov večinoma ustrašijo zaradi mgmt-a ključev....
Ma, certifikati so res strašno nerodni za uporabo. Geslo lahko vtipkaš na katerikoli napravi (pa še tu imajo uporabniki probleme), trustanje CA in nameščanje client certov na iJeba8+ in ČingČong S9 - še posebej ko ima uporabnik več naprav, kjer je vsaka čisto drugačna - pa ni niti približno elegantno.
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

jukoz ::

darkolord je izjavil:

SeMiNeSanja je izjavil:

Mislim da se certifikatov večinoma ustrašijo zaradi mgmt-a ključev....
Ma, certifikati so res strašno nerodni za uporabo. Geslo lahko vtipkaš na katerikoli napravi (pa še tu imajo uporabniki probleme), trustanje CA in nameščanje client certov na iJeba8+ in ČingČong S9 - še posebej ko ima uporabnik več naprav, kjer je vsaka čisto drugačna - pa ni niti približno elegantno.


Tak odgovor sem hotel. Ker je res zoprno, zato pa rukneš RDP kar direkt na net pa je.

Tudi odklepanje vrat je zoprno, pa vsi, ki hočejo skozi, rabijo ključ pa take zoprne stvari.
Pa nam je nekako uspeva odklepati in zaklepati vrata vseh vrst in oblik s ključi. Digitalna "vrata" pa ne moremo. Zanimivo.

darkolord ::

Nikjer nisem napisal, da podpiram to, da se tega ne počne.

Samo precej bolj zakompliciran (= dražji) setup v primerjavi z na primer PPTP je pač razlog, da se tega v praksi ne počne prav pogosto. PPTP je še vedno ključavnica, samo pač navadna cilindrična.
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

SeMiNeSanja ::

PPTP je depreciated - ravno včeraj sem dobil obvestilo od WatchGuarda, da bodo opustili podporo zanj, ker enostavno (že dolgo) ni varen protokol. Kako ga 'zlomiti' si pa lahko vsak kiddy pogleda na youtube...

darkolord ::

No, tole bi pa res rad enkrat v živo videl, kako se 'zlomi' PPTP. Da imaš IP naslov PPTP endpointa, pa ga 'zlomiš'.
spamtrap@hokej.si
spamtrap@gettymobile.si

SeMiNeSanja ::

darkolord je izjavil:

No, tole bi pa res rad enkrat v živo videl, kako se 'zlomi' PPTP. Da imaš IP naslov PPTP endpointa, pa ga 'zlomiš'.

Zlomijo ti ga na kakem porednem AP, na katerega se obesiš (gostilna, hotel,...). MITM&Co

dash_wallace ::

Vse OK. A mi lahko zdaj Kdo brez filozofije pove postopek kako narediti najbolj varno povezavo na služben računalnik?

MUC ::

Ali ima kdo seznam večjih slovenskih IP blokov. Seznam je sicer objavljen na http://lite.ip2location.com/slovenia-ip... , ampak iščem najhitrejšo rešitev, ki že vključuje subnet maske.

Ma kdo za copy/pastat?

SeMiNeSanja ::

dash_wallace je izjavil:

Vse OK. A mi lahko zdaj Kdo brez filozofije pove postopek kako narediti najbolj varno povezavo na služben računalnik?

Greš do službenega informatika in ga pobaraš kakšno VPN povezljivost imate na voljo in ga prosiš, da ti omogoči dostop preko VPN do tvojega službenega računalnika.

Karkoli drugega ne pride niti pod razno v poštev v podjetjih, ki imajo svojega informatika.

Drugo je seveda, če ste manjše podjetje in nimate svojega informatika. Tudi v tem primeru je običajno nekdo 'ta glavni' pri hiši, da ne dela kar vsakdo nekaj po svoje, kar na koncu pelje v kaos. Stopiš do tega 'glavnega' in ga povprašaš, če imate kaj poštimano v smeri VPN povezljivosti. Če nima pojma, skupaj pokličeta hišnega 'serviserja' in njega povprašata.

Got the point? Nič v samohodu, vedno v dogovoru z odgovornimi. V nasprotnem primeru si namreč lahko nakoplješ precej težav, sploh če ne veš dobro kaj to počneš....

krneki ::

MUC je izjavil:

Ali ima kdo seznam večjih slovenskih IP blokov. Seznam je sicer objavljen na http://lite.ip2location.com/slovenia-ip... , ampak iščem najhitrejšo rešitev, ki že vključuje subnet maske.

Ma kdo za copy/pastat?


S CIDR notacijo je GeoLite2 Country na https://dev.maxmind.com/geoip/geoip2/ge...
geoname_id za Slovenijo je 3190538

Bakunin ::

http://ipv6.si/

dash_wallace ::

SeMiNeSanja je izjavil:

dash_wallace je izjavil:

Vse OK. A mi lahko zdaj Kdo brez filozofije pove postopek kako narediti najbolj varno povezavo na služben računalnik?

Greš do službenega informatika in ga pobaraš kakšno VPN povezljivost imate na voljo in ga prosiš, da ti omogoči dostop preko VPN do tvojega službenega računalnika.

Karkoli drugega ne pride niti pod razno v poštev v podjetjih, ki imajo svojega informatika.

Drugo je seveda, če ste manjše podjetje in nimate svojega informatika. Tudi v tem primeru je običajno nekdo 'ta glavni' pri hiši, da ne dela kar vsakdo nekaj po svoje, kar na koncu pelje v kaos. Stopiš do tega 'glavnega' in ga povprašaš, če imate kaj poštimano v smeri VPN povezljivosti. Če nima pojma, skupaj pokličeta hišnega 'serviserja' in njega povprašata.

Got the point? Nič v samohodu, vedno v dogovoru z odgovornimi. V nasprotnem primeru si namreč lahko nakoplješ precej težav, sploh če ne veš dobro kaj to počneš....



Vse Ok. Kje si lahko pogledam (Z preglednimi navodili, kako naredit DOBER IN STABILE VPN)

SeMiNeSanja ::

VPN se da implementirat na različne načine - odvisno od tega, kar imaš na voljo.

Če imaš kakšen malo boljši router ali požarno pregrado, ta običajno že omogoča vzpostavitev VPN povezave kar na njemu/njej. Kakšno vrsto VPN povezave ti omogoča je odvisno od vrste naprave. Nekatere podpirajo samo OpenVPN varianto oz. SSL VPN, medtem ko kakšne druge ponujajo še IPSec, L2TP,....

Če tvoj router kaj od tega podpira, ne moremo reči, saj ne vemo kakšnega imaš.

Druga opcija pa je, da neki računalnik na mreži prevzame vlogo VPN prehoda. Windows server ima že vse potrebno 'vgrajeno', samo skonfigurirat moraš. Tudi Linux je lahko VPN prehod, zgolj namestiš ustrezne pakete in jih skonfiguriraš.

Sam imam rajši varianto, da je router oz. požarna pregrada VPN prehod, saj nisi odvisen od tega, ali je nek računalnik na omrežju prižgan in na njemu vse deluje kot je treba (en kolega je na veliko uporabljal Windows server, pa mu vsake toliko 'zašteka'... Windows pač...).

Skratka, ne moremo ti kar nek recept napisat, ker je vse skupaj zelo odvisno od 'sestavin', ki so ti na razpolago za 'kuho'.

nurse013 ::

SeMiNeSanja
Si kr buden..
:)
you gotta be kidding me...

dash_wallace ::

SeMiNeSanja je izjavil:

VPN se da implementirat na različne načine - odvisno od tega, kar imaš na voljo.

Če imaš kakšen malo boljši router ali požarno pregrado, ta običajno že omogoča vzpostavitev VPN povezave kar na njemu/njej. Kakšno vrsto VPN povezave ti omogoča je odvisno od vrste naprave. Nekatere podpirajo samo OpenVPN varianto oz. SSL VPN, medtem ko kakšne druge ponujajo še IPSec, L2TP,....

Če tvoj router kaj od tega podpira, ne moremo reči, saj ne vemo kakšnega imaš.

Druga opcija pa je, da neki računalnik na mreži prevzame vlogo VPN prehoda. Windows server ima že vse potrebno 'vgrajeno', samo skonfigurirat moraš. Tudi Linux je lahko VPN prehod, zgolj namestiš ustrezne pakete in jih skonfiguriraš.

Sam imam rajši varianto, da je router oz. požarna pregrada VPN prehod, saj nisi odvisen od tega, ali je nek računalnik na omrežju prižgan in na njemu vse deluje kot je treba (en kolega je na veliko uporabljal Windows server, pa mu vsake toliko 'zašteka'... Windows pač...).

Skratka, ne moremo ti kar nek recept napisat, ker je vse skupaj zelo odvisno od 'sestavin', ki so ti na razpolago za 'kuho'.



Rabim ga, da RDP odstavimo in vzpostavimo KVALITETE, STABILEN, VAROVAN VPN.
Imamo 8 Računalnikov 1 Server 2012R2 (Računovodstvo) In potem bi radi delali zadeve tudi od doma, kakor v službi...

Mr.B ::

RDGW + MFA
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

dash_wallace ::

A ni forum za to, da nekdo nekomu pomaga z razumevajočo razlago?

RDGW + MFA (KAJ TO JE)? V slovenščini, brez google. (potem ne rabim tega foruma, če moram vse sam po-google-at..


https://www.google.si/search?q=RDGW&sou...

https://www.google.si/search?biw=1600&b.....0i10i30k1.18351.26978.0.27650.3.3.0.0.0.0.189.429.0j3.3.0....0...1.1.64.psy-ab..0.3.429...0i22i10i30k1j0i22i30k1.0.lU7bPL2TW1w

https://www.google.si/search?biw=1600&b.....0i67k1j0j0i10k1j0l7.24822.24822.0.25044.1.1.0.0.0.0.115.115.0j1.1.0....0...1.1.64.psy-ab..0.1.114....0.GWrJ4qCc1Lc


HVALA

Mr.B ::

dash_wallace je izjavil:

A ni forum za to, da nekdo nekomu pomaga z razumevajočo razlago?

RDGW + MFA (KAJ TO JE)? V slovenščini, brez google. (potem ne rabim tega foruma, če moram vse sam po-google-at..


https://www.google.si/search?q=RDGW&sou...

https://www.google.si/search?biw=1600&b.....0i10i30k1.18351.26978.0.27650.3.3.0.0.0.0.189.429.0j3.3.0....0...1.1.64.psy-ab..0.3.429...0i22i10i30k1j0i22i30k1.0.lU7bPL2TW1w

https://www.google.si/search?biw=1600&b.....0i67k1j0j0i10k1j0l7.24822.24822.0.25044.1.1.0.0.0.0.115.115.0j1.1.0....0...1.1.64.psy-ab..0.1.114....0.GWrJ4qCc1Lc


HVALA

Glej,
Pomagamo lahko, ko bos definiral specificni problem pri nastavitvi cesarkoli ze. Na netu obstaje kar nekaj zelo dobrih clankov, kako in kaj. Obstaja tudi na tem forumu tema o vpn- ju in podobno... v koncni fazi v tako splosnem ???? zagotovo ni nobenega, ki mu bo dal resitev na kljuc, ker v koncni fazi ne vemo, kaj je pozarna pregrada, ima od isp-ja, nastavljeno varnostno linijo, morda mu mtu ne bo ogajal, morda ima xp kliene, itd... morda uporabljajo samo android tablice ter na njih prikljucene monitorje, no veliko je teh ?????
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

RDGW+MFA aka Remote Desktop Gateway + Multi Factor Authentication

RDGW je opcija - če potrebuješ ZGOLJ RDP. Čim potrebuješ celovito povezljivost, pa ta opcija ni več to. Marsikdo priporoča RDGW, čeprav meni nikoli ne bo čisto jasno, v čem je ta opcija kvazi toliko varnejša od direktnega RDP - koneckoncev še vedno uporablja ne ravno najbolj popolni RDP protokol. Z mojega vidika rešuje izključno problem forwardiranja portov, če moramo nuditi RDP dostop do večjega števila računalnikov.

Jaz bi vedno dal prednost VPN povezljivosti, ker preko nje lahko zavaruješ uporabnike tudi na bolj vprašljivih javnih omrežjih. Poleg tega pa RDGW uvaja še dodate možen point of failure.

Na drugi strani pa je res, da VPN povezave lahko prinesejo težave z nameščanjem odjemalcev, zlasti pri uporabnikih z dvema levima rokama.

MFA pa je vedno dobra zamisel, ne glede o čem se pogovarjamo.

Mr.B ::

SeMiNeSanja je izjavil:

RDGW+MFA aka Remote Desktop Gateway + Multi Factor Authentication

RDGW je opcija - če potrebuješ ZGOLJ RDP. Čim potrebuješ celovito povezljivost, pa ta opcija ni več to. Marsikdo priporoča RDGW, čeprav meni nikoli ne bo čisto jasno, v čem je ta opcija kvazi toliko varnejša od direktnega RDP - koneckoncev še vedno uporablja ne ravno najbolj popolni RDP protokol. Z mojega vidika rešuje izključno problem forwardiranja portov, če moramo nuditi RDP dostop do večjega števila računalnikov.

Jaz bi vedno dal prednost VPN povezljivosti, ker preko nje lahko zavaruješ uporabnike tudi na bolj vprašljivih javnih omrežjih. Poleg tega pa RDGW uvaja še dodate možen point of failure.

Na drugi strani pa je res, da VPN povezave lahko prinesejo težave z nameščanjem odjemalcev, zlasti pri uporabnikih z dvema levima rokama.

MFA pa je vedno dobra zamisel, ne glede o čem se pogovarjamo.

Meni tudi ni jasno, čemu nekto preferira VPN preko 443 v končni fazi je povezava do RDGW lahko "FIPS-compliant". Ter drugi del, kaj si nekdo zamilšla dostop do cele mreže. Vsaj kjer jaz delam, administraramo marikaj preko RDS infrastrukture, pa nimamo ravno malo klinetov, oziroma, za slovenkse razmere, no morda krka in te kalibri...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

dash_wallace ::

Saj sem Napisal

Rabim ga, da RDP odstavimo in vzpostavimo KVALITETE, STABILEN, VAROVAN VPN.
Imamo 8 Računalnikov in 1 Server 2012R2 (Računovodstvo) In potem bi radi delali zadeve tudi od doma, kakor v službi... Vsi ostali računalniki imajo win 7, 8.1 in 10... Ponudnik interneta je t-2, router je tp-link wrt 1043... KAJ ŠE?
PA ne komplicirajte z nekimi kraticami itd. In iščete probleme namesto rešitev...

SeMiNeSanja ::

Poslovno omrežje + consumer (home) grade router = fail.

Saj deluje - kaj pa varnost?

V tem segmentu imaš varnostne rešitve cele vrste ponudnikov (pri nas zastopani po abecedi):

    Barracuda
    Checkpoint
    Cisco
    Fortinet
    PaloAlto
    Sonicwall
    Sophos
    Stormshield
    WatchGuard


In verjel ali ne - vse te rešitve med ostalim ponujajo tudi VPN povezljivost.

TPLink je navadna consumer/home grade komunikacijska naprava, ki z ničemer ne ščiti omrežja. Edino, kar računalnike 'varuje' je antivirus, ki ga imaš na računalnikih (vsaj upam, da ga imaš). Za antivirus pa že vrabci na strehi vedo povedat, da se nanj ni za zanesti. Če ne verjameš, vprašaj tiste, ki so staknili raznorazne izsiljevalske viruse, če jim je AV kaj pomagal.

TPLink v poslovnem omrežju... to ti je enako, kot če grež ob poledici na cesto z letnimi gumami. Saj gre....samo kaj, ko se bo treba zaustaviti?


Mr.B. - FIPS-Compliant zgolj pomeni, da je uporabljena kriptografija na nivoju, kot ga predpisuje ameriški vladni standard. Ne pomeni pa, da se zadevo drugače ne da zlorabiti zaradi takih ali drugačnih lukenj. Še manj pomeni, da je server, kateri GW servis streže 'nezlomljiv' (it's still just Windows!). TSWG je prikladna rešitev, da se ne ubadaš s port forwardingom za vsak računalnik posebej - ampak rešuje pa zgolj in izključno to težavo. Ne bo ti npr. pripeljal domov IP telefonijo iz pisarne, da bi dejansko imel enakovredno okolje, kot v pisarni.
Če pa na koncu služi za potuho, da se ne nabavi spodobne varnostne rešitve in fura neke TPLinke in podobno šaro, pa je celo kontraproduktiven.

Mr.B ::

Ne bo ti npr. pripeljal domov IP telefonijo iz pisarne, da bi dejansko imel enakovredno okolje, kot v pisarni.
Če pa na koncu služi za potuho, da se ne nabavi spodobne varnostne rešitve in fura neke TPLinke in podobno šaro, pa je celo kontraproduktiven.

Če je soft klinet seveda da, koliko pa jih ima v pisarnah še klasičnitelefon. Verjetno samo še JS, ter direktorji. Ostali so itak mobilni...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

Mr.B je izjavil:

Ne bo ti npr. pripeljal domov IP telefonijo iz pisarne, da bi dejansko imel enakovredno okolje, kot v pisarni.
Če pa na koncu služi za potuho, da se ne nabavi spodobne varnostne rešitve in fura neke TPLinke in podobno šaro, pa je celo kontraproduktiven.

Če je soft klinet seveda da, koliko pa jih ima v pisarnah še klasičnitelefon. Verjetno samo še JS, ter direktorji. Ostali so itak mobilni...

Saj ni samo telefonija. Pa tudi ni nujno le soft klient - če imaš tudi doma VPN podporo na routerju, si lahko 'privoščiš' tudi 'pravi' IP telefon povezat 24/7.

TSGW ti omogoča samo en sam servis, vse od tu naprej pa je odvisno od računalnika, na katerega se povezuješ.
Kaj pa, če nekomu ne želiš omogočiti dostopa do desktopa, bi pa mu rad omogočil oddaljeno printanje, dostop do maila, pošiljanje maila iz podjetja, telefonijo, backup na firmin NAS,..... ?
Tu TSGW enostavno ne pomaga. Potrebuješ VPN povezljivost.
Še bolj očitno postane, če svoje delovno mesto neseš domov (prenosniki niso več nobena posebnost) - a potrebuješ dostop do datotek na strežniku v podjetju?
Ravno tako je TS/RDP lahko varnostno vprašljiv - če se enkrat dokoplješ do desktopa, tam lahko počneš karkoli. Če imaš 'zgolj' VPN in ne dovoliš RDP, pa lahko zelo granularno nadziraš, do katerih resursov bo imel posameznik dostop.

Pa da ne pozabimo, da VPN hkrati tudi lahko varuje mobilne naprave, ko se priklapljaš na raznorazne javne dostopne točke.

Skratka, imamo opravka z dvema popolnoma različnima zadevama, kateri jaz nebi tlačil v isti koš. Koneckoncev pa še vedno lahko uporabljaš TSGW preko VPN povezave in ga sploh ne izpostavljaš javnemu omrežju.

Mr.B ::

SeMiNeSanja je izjavil:

Mr.B je izjavil:

Ne bo ti npr. pripeljal domov IP telefonijo iz pisarne, da bi dejansko imel enakovredno okolje, kot v pisarni.
Če pa na koncu služi za potuho, da se ne nabavi spodobne varnostne rešitve in fura neke TPLinke in podobno šaro, pa je celo kontraproduktiven.

Če je soft klinet seveda da, koliko pa jih ima v pisarnah še klasičnitelefon. Verjetno samo še JS, ter direktorji. Ostali so itak mobilni...

Saj ni samo telefonija. Pa tudi ni nujno le soft klient - če imaš tudi doma VPN podporo na routerju, si lahko 'privoščiš' tudi 'pravi' IP telefon povezat 24/7.

TSGW ti omogoča samo en sam servis, vse od tu naprej pa je odvisno od računalnika, na katerega se povezuješ.
Kaj pa, če nekomu ne želiš omogočiti dostopa do desktopa, bi pa mu rad omogočil oddaljeno printanje, dostop do maila, pošiljanje maila iz podjetja, telefonijo, backup na firmin NAS,..... ?
Tu TSGW enostavno ne pomaga. Potrebuješ VPN povezljivost.
Še bolj očitno postane, če svoje delovno mesto neseš domov (prenosniki niso več nobena posebnost) - a potrebuješ dostop do datotek na strežniku v podjetju?
Ravno tako je TS/RDP lahko varnostno vprašljiv - če se enkrat dokoplješ do desktopa, tam lahko počneš karkoli. Če imaš 'zgolj' VPN in ne dovoliš RDP, pa lahko zelo granularno nadziraš, do katerih resursov bo imel posameznik dostop.

Pa da ne pozabimo, da VPN hkrati tudi lahko varuje mobilne naprave, ko se priklapljaš na raznorazne javne dostopne točke.

Skratka, imamo opravka z dvema popolnoma različnima zadevama, kateri jaz nebi tlačil v isti koš. Koneckoncev pa še vedno lahko uporabljaš TSGW preko VPN povezave in ga sploh ne izpostavljaš javnemu omrežju.

Dragi, jaz uporabljam osem orodji na rds farmi, pa se nisem niti 1x prijavil na ts farmo v smislu kot si ti to predstavljas. Vidim pa tudi nic, se brovsat po mrezi ne morem, ce nimam to exsplicitno dovoljeno.

Mam pa tudi stranke, ki se najprej vpn- jajo, potem imajo edino odprto pot do f5 url authentikacije, ter potem jim je omogoceno skladno z pravicami dostop do resorsov, pa se to zgolj odobrenih, glede na politiko
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

Nisi razumel poante:

- TSGW/RDP je 1 storitev - od tam naprej (beri gor) kar ti oddaljeni desktop dovoli
- VPN pa je univerzalni dostop

Torej, če si mala štacuna - kaj boš raje imel? Nekaj kar ti omogoča samo eno funkcionalnost - ali nekaj kar je univerzalno?

SeMiNeSanja ::

Dragi, jaz uporabljam osem orodji na rds farmi, pa se nisem niti 1x prijavil na ts farmo v smislu kot si ti to predstavljas. Vidim pa tudi nic, se brovsat po mrezi ne morem, ce nimam to exsplicitno dovoljeno.


Če ti ne moreš, ker ne znaš, to še zdaleč ne pomeni, da nihče ne zna. Če ne danes, pa morda jutri?

Poleg tega je bilo govora o 'kot da sem v službi experience' - torej o dostopu do polnega desktopa, ne zgolj do nekih posameznih objavljenih (published) aplikacij.

Mr.B ::

SeMiNeSanja je izjavil:

Nisi razumel poante:

- TSGW/RDP je 1 storitev - od tam naprej (beri gor) kar ti oddaljeni desktop dovoli
- VPN pa je univerzalni dostop

Torej, če si mala štacuna - kaj boš raje imel? Nekaj kar ti omogoča samo eno funkcionalnost - ali nekaj kar je univerzalno?

Da vidim kaj je zate univerzalni ? Dostop do vsega, kar imas geslo..... dej dej no dej, zgolj zato kerr se ukvarjas samo z mrezo, ne znas pa nastaviti ostalega, smatras mrezni dostop do storitev znotraj podjetja z vpn-jem univerzalni..

SeMiNeSanja je izjavil:

Dragi, jaz uporabljam osem orodji na rds farmi, pa se nisem niti 1x prijavil na ts farmo v smislu kot si ti to predstavljas. Vidim pa tudi nic, se brovsat po mrezi ne morem, ce nimam to exsplicitno dovoljeno.


Če ti ne moreš, ker ne znaš, to še zdaleč ne pomeni, da nihče ne zna. Če ne danes, pa morda jutri?

Poleg tega je bilo govora o 'kot da sem v službi experience' - torej o dostopu do polnega desktopa, ne zgolj do nekih posameznih objavljenih (published) aplikacij.

Da ce delas v kliperskih aplikacijah, kot v sloveniji, pa tudi te delajo na ts, vkljucujoc kot app.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Zgodovina sprememb…

  • spremenil: Mr.B ()

SeMiNeSanja ::

@MR.B - Ali lahko ostaneš na nivoju argumentov?

TSGW je marsikje prikladna rešitev, ker enostavno niso znali/hoteli/mogli upravljati z VPN povezavami.
V številnih primerih ti dodatno zaračunavajo VPN kliente, upravljanje policyjev za VPN povezave je v nekaterih rešitvah nočna mora in na koncu to pogosto dela še 'oni drugi tip'...tisti, ki stalno nekaj teži s security-jem in podobno, ki ga moraš prositi za vsakega uporabnika posebej,... Po možnosti je tisti 'drugi tip' še iz drugega oddelaka ali celo zunanji izvajalec.

Nekega dne ima strežniški admin tega poven kufer in naredi obvoz okoli vsega tega preko TSGW, kar mu omogoči, da uporabnikom dodeljuje neke dostope, neodvisno od tistega 'drugega tipa'.

Ali je to dobro ali ni, se ne da reči pavšalno. Odvisno od implementacije.
Je alternativa, ni pa rešitev za vse, še najmanj pa v najmanjših podjetjih, kjer želiš stvari čim bolj skoncentrirat in poenostaviti, na en mah pobiti čim več muh.
Bi pa rad videl večje podjetje, ki ima TSGW, pa nima tudi VPN povezav. J* ga - vse pač ne gre čez TSGW. Pa ne mi zdaj o nekih kliper aplikacijah - ravno tiste rabijo terminalske servise ali RDP, ker direktno pišejo v datoteke.
Vzemi navadno SQL aplikacijo. ki jo imaš nameščeno na prenosniku. Kako bo delovala preko TSGW? Ne bo.

Mr.B ::

Glej, imam stranko ki upeljuje direct access, pa ma paloalto top shit. Z vkljucno vpn-ji se ukvarjajo osebki katerih zakon so zaklenitev racuna po treh napcnih vnosih. Selfservice password reset portal jim je pa bogokletstvo.
Vpn je zame aktualen, a za dostop oseb in njihovih pc-jev, do interne mreze, pa se to zgolj v dmz baloncek, potem se bodo pa se 1x authenticirali.
Vse ostalo, je nepotrebno obremenjevanje uporabnikov, pod kvazi dodatnonvarnost, ker ka nimte znanja ne dnarja narediti za uporabnika prijazni dostop do internih storitev...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Mr.B ::

Aplikacija na prenosniku, ki jo ima uporabnik kjerkoli izven omrezja, nima nikakrsne veze z aplikacijo, ki bo dostopna uporabnikom na lokaciji podjetja. Imas kot prvo koncepno zgresene zadeve, na koncu bos reklel da ima uporabnik asterixa, in drugi rabijo da imajo telefonijo, tretji doma file server etc...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

@Mr.B - ne mešat konceptov, katere se lahko špilaš v omrežjih z 100 in več uporabniki z koncepti, kateri so primerni za omrežja z 3-100 uporabniki, po možnosti še brez lastnega IT kadra.

Ampak v bistvu si samo potrdil, kar sem že zgoraj napisal. Otroška kardiologina na IT področju. Mrežologi in aplikativci vsak na svojem bregu, vsak ima svoj prav, ne pa da bi iskali sinergijo in združili moči za najbolj optimalno varianto.

Definitivno pa NIKOLI ni en in isti koncept dober za povsod. Vsako okolje ima svoje posebnosti in zahteve. Nekje je ena rešitev lahko genialna, nekje drugje pa naredi celo štalo. Če se potem še ITjevci vsak zase cufajo za svojo varianto, po možnosti še med sabo nagajajo, pa dobiš otroško kardiologijo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VPN in dostop do lokalnih resource-ov

Oddelek: Pomoč in nasveti
5574 (406) c3p0
»

IPv6 in tuneli

Oddelek: Omrežja in internet
7683 (510) SeMiNeSanja
»

Mikrotik multisite IPSec

Oddelek: Omrežja in internet
16609 (404) damirj79
»

Nezaščiten RDP v domeni

Oddelek: Omrežja in internet
61026 (649) He-Man
»

oddaljen dostop - kateri program?

Oddelek: Programska oprema
123328 (2289) A_A

Več podobnih tem