» »

Pomoč pri varnosti RDP

Pomoč pri varnosti RDP

webina ::

Spoštovani
Potreboval bi najbolj varno rešitev za kontroliranje 7-10 RDP Windows naprav istočasno.
Naprave so na različnih omrežjih/lokacijah tako da VPN na vsaki napravi odpade.
Veliko sem bral o varnosti Windows RDP-a in je zelo luknjast glede varnosti.

Imate mogoče kakšna priporočila oz rešitev?

Hvala

HotBurek ::

Na RDP mašinah odpri port 3389:TCP samo za requeste iz source IP-ja, od koder boš do teh mašin dostopal. Se pravi tvoje menedžment mašine. Pa te ne bo nobeden pohekal in boš bil varen.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

webina ::

Pozabil sem omeniti da se uporablja večinoma na terenu in posledično mobilni internet z dinamičnim IP naslovom

strawman ::

Poizkusi s kakim RDP gatewayem .
Če pa gre za osebne PCe kjer je vsak v svojem domačem omrežju bo pa bolj praktičen kak Teamviewer. Seveda odvisno kaj in koliko dolgo misliš delat remote.

SeMiNeSanja ::

Kako si mislil, da "VPN ne pride v poštev"?

Daj malenkost bolj natančno pojasni kdo se kam povezuje, ker se tega iz prvega posta ne da čisto jasno razbrati.

Enkrat je namreč govora o terenu - torej so odjemalci 'mobilni', računalniki na katere se povezujejo, pa so na določeni centralni lokaciji? Ali so tudi ti 'raztreseni' po različnih lokacijah?

Ali gre povezava celo v drugo smer, da moraš iz centralne lokacije nuditi podporo 'terencem' preko RDP?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

c3p0 ::

Za take primer je opcija kak "port knocking" app, vidim da obstajajo za Win server.

Security puristi bodo zdaj skočili v zrak, ampak v svoji karieri še nisem videl zlorabe.

smacker ::

Najmanj kar lahko narediš je, da zakleneš RDP na SLO IP-je in nastaviš močno geslo za VSE uporabniške račune. S tem se vsaj rešiš botov, ki brute forcajo RDPje vsepovprek iz ruskih IP-jev.

techfreak :) ::

Cloudflare Access mogoce? https://developers.cloudflare.com/acces...

Ne rabis imeti nobenih odprtih portov, niti staticnega IPja, saj cloudflared odjemalec laufa na Windows napravah. Za dostop do teh naprav rabis zagnan cloudflared odjemalec, ob povezavi na RDP napravo se ti v brskalniku odpre prijavno okno (npr. uporabis Google OAuth2), po prijavi pa se ti zazene RDP seja.

Cenovno je 3$/uporabnika + 5$/mesec za Argo tunel, ter 0.10$/GB po prenosu.

----

Ce je predrago, pa kaksen VPN? Saj lahko imas centralni VPN streznik, vse naprave na katere se zelis povezati pa imajo zagnan VPN odjemalca, torej lahko do vseh dostopas preko lokalnega IPja (npr. 10.0.0.3), ne glede na to kje se naprava nahaja, ter kaksen zunanji IP ima.

SeMiNeSanja ::

Še niti ne vemo, ali pacienta boli noga ali glava, pa že vsi predpisujete terapije...

Toliko o 'internetnih nasvetih'.....

Še dobro da v tem primeru pacient (najbrž) ne bo umrl, predenj boste izčrpali vse svoje modre ideje raznih alternativnih terapij.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

webina ::

Zadeva je takšna da imam windows strežnike skoraj po celotni EU do katerih potrebujem varen dostop preko desktop remote controla po možnosti na več njih istočasno (4-6 ur dnevno).
Če povežem vse v centralni VPN strežnik, lahko najverjetneje hitro nastane problem pri dostopanju servisov preko ip od strežnika.
Omejitev na slo ip-je ni rešitev saj dostopam tudi preko mobilnega/stacionarnega interneta v tujini.

Če potrebujete še kakšno informacijo mi prosim povejte.

techfreak :) ::

Za preprosto in res varno resitev bi predlagal zgoraj omenjeni Cloudflare, ce finance to dopuscajo.

Če povežem vse v centralni VPN strežnik, lahko najverjetneje hitro nastane problem pri dostopanju servisov preko ip od strežnika.
Kaj te skrbi pri tej resitvi oz. kje vidis da bi nastali problemi?

smacker ::

VPN postaviš doma ali v pisarni, iz terena se povežeš na ta VPN, na serverih pa zakleneš dostop na IP od doma/pisarne. Serveri ne rabijo bit v VPN-ju.

techfreak :) ::

Varneje je imeti streznike na VPNju, saj je tako promet se dodatno sifriran, ter ni nobene potrebe po omejevanju IPja VPN streznika. Odpiranje portov navzven, razen kjer res ni druge resitve (npr. na VPN strezniku), se mi zdi precej slaba praksa.

SeMiNeSanja ::

webina je izjavil:

Zadeva je takšna da imam windows strežnike skoraj po celotni EU do katerih potrebujem varen dostop preko desktop remote controla po možnosti na več njih istočasno (4-6 ur dnevno).
Če povežem vse v centralni VPN strežnik, lahko najverjetneje hitro nastane problem pri dostopanju servisov preko ip od strežnika.
Omejitev na slo ip-je ni rešitev saj dostopam tudi preko mobilnega/stacionarnega interneta v tujini.

Če potrebujete še kakšno informacijo mi prosim povejte.

Ti strežniki po raznih lokacijah so torej fiksni, na statičnih IP naslovih, nekakšni "vzdrževalci" pa naj bi se iz 'terena' (ali od doma) povezovali na te strežnike?

Glede na to, da je VPN povezljivost standardni sestavni del Windows strežnika, bi jaz razmišljal v smeri, da se uporabi to možnost, ki te nič ne stane (če že nimaš urejene VPN povezljivosti na nivoju routerja ali požarne pregrade na oddaljeni lokaciji).

Optimalna varianta bi bila, da imaš stalne tunele med oddaljenimi lokacijami in svojo lokalno 'centralo'. Če rabiš kakšne posege, se iz terena z VPN povežeš na 'centralo' in tako pridobiš dostop do vseh tunelov oz. oddaljenih strežnikov.

Omenjen je bil pomislek, da se IP naslovi oddaljenih omrežij 'stepejo'. Ta možnost je seveda zelo visoka, zato so snovalci IPSec-a že dolgo tega omogočili NAT na tunelih, tako da v bistvu lokalno 'preštevilčiš' oddaljena omrežja, katera bi se sicer znašla v sporu zaradi podvajanja naslovov.

Potrebuješ pa dovolj zmogljiv VPN gateway v 'centrali'. Tu potem lahko tudi precej povzdigneš ostalo varnost dostopanja, dodaš še večstopenjsko avtentikacijo za VPN do centrale, lahko tudi za sam RDP dostop...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Lonsarg ::

Toliko o VPNjih noben pa ni omenil da default setting v windows nima nobene anti-brute force zaščite. To je prvo ko je za uredit, poskrbeti za policy na strežnikih da je po določenih poskusih lock računa.

Je pa res da security je v layerjih tak da kljub temu ne škodje še kaj ekstra... Osebno bi namesto VPN raje kako 3rd party RDP orodje ki omogoča kake dodatne security zadeve, naprimer kaj takega: https://www.wallix.com/en/

Ni pa šans da zgolj z osnovnim znanjem vspostaviš secure zadevo, žal.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

SeMiNeSanja ::

Lonsarg je izjavil:

Toliko o VPNjih noben pa ni omenil da default setting v windows nima nobene anti-brute force zaščite. To je prvo ko je za uredit, poskrbeti za policy na strežnikih da je po določenih poskusih lock računa.

Je pa res da security je v layerjih tak da kljub temu ne škodje še kaj ekstra... Osebno bi namesto VPN raje kako 3rd party RDP orodje ki omogoča kake dodatne security zadeve, naprimer kaj takega: https://www.wallix.com/en/

Ni pa šans da zgolj z osnovnim znanjem vspostaviš secure zadevo, žal.

Kako strežniki nimajo 'anti-brutforce'? Seveda imaš account lockout po določenem številu napačnih gesel. Se pa tu skriva dodatna nevarnost - da te bo nekdo zaklenil ven. Temu se tudi lahko reče DOS...

Toda moraš ločiti tudi med uporabniškimi VPN-i in medmrežnimi. Če se povezuješ kot sem jaz predlagal mreža-mreža v nekakšno centralno vozlišče, se do tega po vsej verjetnosti ne boš povezaoval z uporabo Windows accounta.
Dokler pa nisi povezan v VPN do centrale, pa se tudi ne moreš iti nekega bruteforce-a do oddaljenih Windows strežnikov.

Drugače pa obstajajo na internetu nekje navodila, kako RDP 'zakomplicirati', da postane dostopen izključno preko IPSec-a.

Možnosti je veliko... vprašanje je samo, katerim si dorasel in katere so v dometu 'denarnice'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Lonsarg ::

Nikjer nisem rekel da nimajo pasword locka ampak sem rekel da po defaultu ni vkljucen. In poznam polno laikov ki tega niso vedli in so pustili default, torej brez locka (en izmed njih je fasal kripto virus). Lock se vedno vklopi, noben strah pred DoS ne upravici da tega ne bi imel vklopljenega.

Tudi ko das spredaj VPN ali kako drugo resitev ni upraviceno da zaradi tega ne bi password locka vklopil. Microsoft bi moral odgovarjat ker to ni default.

Poldi112 ::

Ko ti bo malware zaklenil accounte komplet firme boš verjetno spremenil mnenje.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Poldi112 je izjavil:

Ko ti bo malware zaklenil accounte komplet firme boš verjetno spremenil mnenje.

Noja... vedno je dobro imeti nekega 'backdoor admina' s strašno obskurnim username-om, kateri je izvzet iz passworkd lockout policy-ja. Kot nekakšen zadnji izhod v slili, če se res zgodi, da nekomu/nečemu uspe pozakleniti vse ostale user account-e.
Toda tudi ta username mora biti bolj za 'enkratno uporabo' (shranjen v trezorju?), saj se sicer lahko znajde v cache-u, kjer ga lahko malware prebere in prične z bruteforce 'nabijanjem'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

McMallar ::

Ali pa admin accounte se izlocis iz cache-a z GPO...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

SeMiNeSanja ::

McMallar je izjavil:

Ali pa admin accounte se izlocis iz cache-a z GPO...

Cache je nevaren za orodja, kot je Mimikatz, ker direktno pobere geslo, ne le username - in to kar brez bruteforce-a. Dobra novica pri tem je, da accounti ne bodo zaklenjeni!

Ker pa se je šlo za nevarnost zaklepa accountov zradi bruteforce ugibanja gesel, smo v bistvu še korak nižje - že samo logiranje prijav v syslog (ki ga ni ravno najbolj pametno izklopiti) bo izdalo uporabniška imena. Če imam torej butasto skripto na računalniku, ki prečeše syslog za vsemi prijavami, bo pozaklenila tudi admin accounte, ki so se znašli v logih. Izločanje iz cache-a tu potem ne pomaga veliko (pomaga pa za Mimikatz?).

Nekateri sistemi imajo zato onemogočeno, da se admin account zaklene zaradi ugibanja gesla, kar je pa spet nek slab kompromis - sploh če pomisliš, da niti ni tako redek pojav, da ravno admin, ki naj bi kvazi 'vedel bolje' uporablja najšibkejša gesla v podjetju (izgovor: kar naprej ga moram tipkat - res ni šanse, da bi uporabljal nekaj hudo kompleksnega)...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

Zimonem ::

Rdp prestaviš na drug port, na default obesiš fake rdp servis. Pa portscan detection. Ti pobere 99% nesnage, če se ti ne da ipseca rihtat.

SeMiNeSanja ::

Kaj ni bolje, da enostavno vse, ki potipajo katerikoli port, ki ni eksplicitno dovoljen, začasno postaviš na globalno blacklisto, da ne vidijo niti tistih storitev, ki so sicer vsemu svetu na voljo? Tako imam jaz narejeno in prav nič ne čakam na portscan - dovolj je, da samo probaš vzpostaviti RDP povezavo, pa si 'odstreljen'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zimonem ::

Mogoče še bolje. Če se pa Marta nekaj časa na honeypotu pa tudi nič narobe. Itak ga maš drugje že na blacklisti.

Zgodovina sprememb…

  • spremenilo: Zimonem ()

dmok ::

webina je izjavil:

Spoštovani
Potreboval bi najbolj varno rešitev za kontroliranje 7-10 RDP Windows naprav istočasno.
Naprave so na različnih omrežjih/lokacijah tako da VPN na vsaki napravi odpade.
Veliko sem bral o varnosti Windows RDP-a in je zelo luknjast glede varnosti.

ZeroTier ne pride v poštev ?

d.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Alternativa TeamView-erju ali zamenjava IDja (strani: 1 2 )

Oddelek: Omrežja in internet
9219196 (15352) MrStein
»

TV namesto RDP

Oddelek: Informacijska varnost
254784 (3578) MrStein
»

SI-CERT 2017-04 / Okužbe z izsiljevalskimi virusi preko storitev za oddaljen dostop

Oddelek: Omrežja in internet
397577 (5999) SeMiNeSanja
»

oddaljen dostop - kateri program?

Oddelek: Programska oprema
125532 (4493) A_A
»

Dostop do oddaljenega omrežja

Oddelek: Omrežja in internet
123469 (3115) mladec

Več podobnih tem