Pomoč pri varnosti RDP

Na RDP mašinah odpri port 3389:TCP samo za requeste iz source IP-ja, od koder boš do teh mašin dostopal. Se pravi tvoje menedžment mašine. Pa te ne bo nobeden pohekal in boš bil varen.

Poizkusi s kakim RDP gatewayem .
Če pa gre za osebne PCe kjer je vsak v svojem domačem omrežju bo pa bolj praktičen kak Teamviewer. Seveda odvisno kaj in koliko dolgo misliš delat remote.

Za take primer je opcija kak "port knocking" app, vidim da obstajajo za Win server.

Security puristi bodo zdaj skočili v zrak, ampak v svoji karieri še nisem videl zlorabe.

Cloudflare Access mogoce? https://developers.cloudflare.com/acces...

Ne rabis imeti nobenih odprtih portov, niti staticnega IPja, saj cloudflared odjemalec laufa na Windows napravah. Za dostop do teh naprav rabis zagnan cloudflared odjemalec, ob povezavi na RDP napravo se ti v brskalniku odpre prijavno okno (npr. uporabis Google OAuth2), po prijavi pa se ti zazene RDP seja.

Cenovno je 3$/uporabnika + 5$/mesec za Argo tunel, ter 0.10$/GB po prenosu.

----

Ce je predrago, pa kaksen VPN? Saj lahko imas centralni VPN streznik, vse naprave na katere se zelis povezati pa imajo zagnan VPN odjemalca, torej lahko do vseh dostopas preko lokalnega IPja (npr. 10.0.0.3), ne glede na to kje se naprava nahaja, ter kaksen zunanji IP ima.

Zadeva je takšna da imam windows strežnike skoraj po celotni EU do katerih potrebujem varen dostop preko desktop remote controla po možnosti na več njih istočasno (4-6 ur dnevno).
Če povežem vse v centralni VPN strežnik, lahko najverjetneje hitro nastane problem pri dostopanju servisov preko ip od strežnika.
Omejitev na slo ip-je ni rešitev saj dostopam tudi preko mobilnega/stacionarnega interneta v tujini.

Če potrebujete še kakšno informacijo mi prosim povejte.

VPN postaviš doma ali v pisarni, iz terena se povežeš na ta VPN, na serverih pa zakleneš dostop na IP od doma/pisarne. Serveri ne rabijo bit v VPN-ju.

webina je 2. sep 2020 ob 22:38 izjavil:

Zadeva je takšna da imam windows strežnike skoraj po celotni EU do katerih potrebujem varen dostop preko desktop remote controla po možnosti na več njih istočasno (4-6 ur dnevno).
Če povežem vse v centralni VPN strežnik, lahko najverjetneje hitro nastane problem pri dostopanju servisov preko ip od strežnika.
Omejitev na slo ip-je ni rešitev saj dostopam tudi preko mobilnega/stacionarnega interneta v tujini.

Če potrebujete še kakšno informacijo mi prosim povejte.

Ti strežniki po raznih lokacijah so torej fiksni, na statičnih IP naslovih, nekakšni "vzdrževalci" pa naj bi se iz 'terena' (ali od doma) povezovali na te strežnike?

Glede na to, da je VPN povezljivost standardni sestavni del Windows strežnika, bi jaz razmišljal v smeri, da se uporabi to možnost, ki te nič ne stane (če že nimaš urejene VPN povezljivosti na nivoju routerja ali požarne pregrade na oddaljeni lokaciji).

Optimalna varianta bi bila, da imaš stalne tunele med oddaljenimi lokacijami in svojo lokalno 'centralo'. Če rabiš kakšne posege, se iz terena z VPN povežeš na 'centralo' in tako pridobiš dostop do vseh tunelov oz. oddaljenih strežnikov.

Omenjen je bil pomislek, da se IP naslovi oddaljenih omrežij 'stepejo'. Ta možnost je seveda zelo visoka, zato so snovalci IPSec-a že dolgo tega omogočili NAT na tunelih, tako da v bistvu lokalno 'preštevilčiš' oddaljena omrežja, katera bi se sicer znašla v sporu zaradi podvajanja naslovov.

Potrebuješ pa dovolj zmogljiv VPN gateway v 'centrali'. Tu potem lahko tudi precej povzdigneš ostalo varnost dostopanja, dodaš še večstopenjsko avtentikacijo za VPN do centrale, lahko tudi za sam RDP dostop...

Lonsarg je 2. sep 2020 ob 23:18 izjavil:

Toliko o VPNjih noben pa ni omenil da default setting v windows nima nobene anti-brute force zaščite. To je prvo ko je za uredit, poskrbeti za policy na strežnikih da je po določenih poskusih lock računa.

Je pa res da security je v layerjih tak da kljub temu ne škodje še kaj ekstra... Osebno bi namesto VPN raje kako 3rd party RDP orodje ki omogoča kake dodatne security zadeve, naprimer kaj takega: https://www.wallix.com/en/

Ni pa šans da zgolj z osnovnim znanjem vspostaviš secure zadevo, žal.

Kako strežniki nimajo 'anti-brutforce'? Seveda imaš account lockout po določenem številu napačnih gesel. Se pa tu skriva dodatna nevarnost - da te bo nekdo zaklenil ven. Temu se tudi lahko reče DOS...

Toda moraš ločiti tudi med uporabniškimi VPN-i in medmrežnimi. Če se povezuješ kot sem jaz predlagal mreža-mreža v nekakšno centralno vozlišče, se do tega po vsej verjetnosti ne boš povezaoval z uporabo Windows accounta.
Dokler pa nisi povezan v VPN do centrale, pa se tudi ne moreš iti nekega bruteforce-a do oddaljenih Windows strežnikov.

Drugače pa obstajajo na internetu nekje navodila, kako RDP 'zakomplicirati', da postane dostopen izključno preko IPSec-a.

Možnosti je veliko... vprašanje je samo, katerim si dorasel in katere so v dometu 'denarnice'.

Ko ti bo malware zaklenil accounte komplet firme boš verjetno spremenil mnenje.

Ali pa admin accounte se izlocis iz cache-a z GPO...

Rdp prestaviš na drug port, na default obesiš fake rdp servis. Pa portscan detection. Ti pobere 99% nesnage, če se ti ne da ipseca rihtat.

Mogoče še bolje. Če se pa Marta nekaj časa na honeypotu pa tudi nič narobe. Itak ga maš drugje že na blacklisti.