Åpne opp Remote Desktop utenfor hjemmenettverket?

[aklla]

KGMK skrev (7 minutter siden):

Med å begynne så må de vel ha datamaskin navnet mitt. Deretter må de ha brukernavnet mitt og passordet mitt. Så sjansen for at de klarer å komme seg inn er vel liten.

Trenger ikke datamaskin navnet, kun offentlig IP, som jo ofte blir scannet automatisk og rapporterer da blir RDP er åpen. Det finnes også mange veier rundt brukernavn og passord..

[tussiesel]

KGMK skrev (5 minutter siden):

Ok, så nå kommer portnummeret mitt opp som åpen på den eksterne ipen min. Hvordan skal jeg koble til denne? Må jeg forwarde denne til den interne ipen min på en måte? 

Jeg skal prøve å finne en mindre t-skje, men anbefaler deg å lære mer om port forwarding, for eksempel finnes det mange youtube-videoer.

Det du har gjort i konfigurasjonen i telenor-routeren er å forwarde/videresende alle tilkoblinger på port 3389 som kommer på din eksterne IP, til port 3389 på en bestemt server på det lokale nettverket. Du bør få til å koble deg til fra en ekstern maskin, ved å skrive inn din eksterne IP.

[KGMK]

Fleskefjeset skrev (6 minutter siden):

Hvorfor er du så sta på at du har rett, når du får fortalt (og dokumentert) at det du gjør er dumt? Du sliter med helt elementær nettverkskonfig, men allikevel stoler du nok på egne sikkerhetsvurderinger at du avfeier alt du blir fortalt som unødvendig? 

Er nok ikke ipconfig som er mitt sterkeste område. Er mer koding det. Jeg er ikke sta på at jeg har rett eller dere tar feil. Jeg bare mener det ikke er noe å henge seg så mye opp i. Kanskje på tide å bytte FTP porten til noe annet enn 21 også da?

[nomore]

KGMK skrev (1 minutt siden):

Alt går an å hacke. Ikke så mange dager siden ble GoDaddy hacket. Du trodde vel at en milliard butikk som GoDaddy burde ha orden på sakene sine. Men nei, ting er ikke umulig å forbipassere uansett systemene du legger til grunn for det. Men det går an å gjøre det meget sikkert. Det er ikke bare nettbutikk jeg driver, men jeg driver også en betalings tjeneste online. Dette har både blitt godkjent av PCI DSS Level 4 i tilegg som både Clearhaus og Stripe står god for den så jeg har litt orden i sakene mine. Hvis man er så redd for vulnerabilities kanskje på tide å oppgradere til noe nyere enn Windows XP?

Jeg tror ikke et ord på det du skriver der etter holdningen du viser til dette.

[Gjest Sletttet+98134]

KGMK skrev (1 minutt siden):

Er nok ikke ipconfig som er mitt sterkeste område. Er mer koding det. Jeg er ikke sta på at jeg har rett eller dere tar feil. Jeg bare mener det ikke er noe å henge seg så mye opp i. Kanskje på tide å bytte FTP porten til noe annet enn 21 også da?

«Ipconfig» er nok ikke din sterkeste side nei, ikke sikkerhet heller. Hva med å kjenne egne begrensninger og høre på råd?

Har du port 21 åpen til ftp så kan du sjekke loggene dine og sannsynligvis få deg en liten realiitycheck.

[KGMK]

nomore skrev (1 minutt siden):

Jeg tror ikke et ord på det du skriver der etter holdningen du viser til dette.

Nei, du får se hva Stripe grunderen skriver om ting eller hva Elon Musk skriver om ting. Du skulle tro hva som kommer ut av munnen på dem tilsier at de ikke har noe erfaring eller smoker crack. Men de er ok folk.

Jeg skal bytte portnummeret til noe annet enn 3389 men det er bare så jævlig tidi å se på hvordan folk blir så sykt butthurt. 

[sedsberg]

Hadde vært greit om det var så enkelt å bare bytte portnummer så var man trygg.

[Gjest Sletttet+98134]

Åpner 3389 mot internett og samtidig sammenligner seg selv med Musk, da er du innafor.

[KGMK]

Det er jo så klart industri standard på ting. Bruk tokenization på API'er. Oauth for innlogging og så videre, men det er ikke all verdens om du gjør ting anderledes. QuickPay ApS som ligger på 2-4 millioner i omsetting hver mnd bare på betalingstjeneste bruker enkel base64 og 24 string api nøkkel. I følge industri standard skulle de ha brukt dobbel encrypting tokenization med 2FA og SMS hver gang du skulle bli innlogget men helt ærlig talt, hva er vitsen. Det er ikke stats hemmeligheter de har liggende på serveren sin.

[nomore]

Hva i alle dager har grunnleggeren av Stripe og Elon Musk med dette å gjøre?

[KGMK]

Yeas, fikk det til

 

Nei, det gikk ikke an å bruke 3389 portnummer på den eksterne ipen. Dere vant alle sammen

[NULL]

15 hours ago, KGMK said:

Yeas, fikk det til

 

Nei, det gikk ikke an å bruke 3389 portnummer på den eksterne ipen. Dere vant alle sammen

Men 12345 fungerte altså  ?

 

[KGMK]

NULL skrev (6 timer siden):

Men 12345 fungerte altså  ?

 

Ja, 12345 ga ingen problemer. Nå blir du bare nødt å finne ut maskin navnet mitt, brukernavnet og passordet mitt. Som ikke burde være noe enkel utfordring.

Det finnes forresten ingen authorization deny etter 5 forsøk på RDP? Kun VNC som har denne funksjonen?

Endret 11. mai 2020 av KGMK

[John-B]

Folk overdriver risikoen litt her. Om du har en oppdatert Windows og et godt passord, er det ikke noen voldsom risiko å ha RDP åpent. Dette er akseptabelt på en privat PC etter min mening (om du faktisk trenger å bruke RDP)
Om noen mener at det er kjente sikkerhetshull i RDP i en oppdatert Windows, synes jeg de burde henvise til kilder med mer info.

Men det er likevel idioti å kjøre det på standardporten 3389. Av egen erfaring kan du være helt sikker på å bli bomardert med innloggingsforsøk fra Kina og andre eksotiske steder. Ikke nødvendigvis en sikkerhetsrisiko med mindre passordet ditt er på avveie, eller enkelt å gjette, men det skaper jo særdeles mye unødvendig trafikk og resursbruk.

Så bytt porten til noe annet, det vil stoppe 99.9% av "hackere" (de sjekker kun om port 3389 er åpen, om ikke går de til neste IP). Noe mer avansert "hacking" enn det der blir du neppe utsatt for om det ikke er noe spesifikt noen vil ha fra deg (altså et målrettet angrep).

Endret 11. mai 2020 av John-B

[nomore]

John-B skrev (2 minutter siden):

Folk overdriver risikoen litt her. Om du har en oppdatert Windows og et godt passord, er det ikke noen voldsom risiko å ha RDP åpent. Dette er helt akseptabelt på en privat PC etter min mening.

Hørt om nulldags sårbarheter? Også kjent som zero day vulnerability.

Å holde spesielt operativsystemet oppdatert, men også annen installert programvare, er et veldig godt steg på veien. Men man er altså fortsatt sårbar for nye og hittil ukjente sårbarheter. Så jeg mener motsatt, at spesielt på private PC'er er dette ekstra risikabelt ettersom arbeidet blir ofte manuelt og lagt opp til tilfeldigheter.

[John-B]

2 minutes ago, nomore said:

Hørt om nulldags sårbarheter? Også kjent som zero day vulnerability.

Ja, derfor jeg skrev at det ikke var noen voldsom risiko. Selvfølgelig er det en risiko til stede (det vil det jo være i alle andre protokoller også), men risikoen er så liten at det er helt ubetydelig for en privat PC. Det er ganske utenkelig at noen som sitter på en zeroday velger å risikere å bli oppdaget ved å angripe private PC-er...

Endret 11. mai 2020 av John-B

[Rudde]

Uderzo skrev (På 10.5.2020 den 14.29):

Det er en stor sikkerhetsrisiko. Det må du rett og slett ikke gjøre.

Hvis du ønsker å bruke RDP fra utenfor hjemmet så må du sette opp en VPN, og helst inkludere 2FA, f.eks ifra Cisco Duo.

Har hørt dette gang på gang i alle år, men ingen sier hvorfor. Hvis vi ser vekk fra VPN med 2FA, hva gjør det tryggere med å ha VPN eksponert kontra RDP om formålet ditt og målet ditt er RDP? La oss si det er noe annet du vil beskytte på nettverket, som en NAS sitt lagringsområde, er det da like dårlig ide å eksponere VPN direkte som og eksponere RDP? Hvis ikke, hvorfor?

Og det har aldri vært noe hysteri rundt eksponering av SSH om det er hva du vil selv uten key auth.

[KGMK]

nomore skrev (3 minutter siden):

Hørt om nulldags sårbarheter? Også kjent som zero day vulnerability.

Å holde spesielt operativsystemet oppdatert, men også annen installert programvare, er et veldig godt steg på veien. Men man er altså fortsatt sårbar for nye og hittil ukjente sårbarheter. Så jeg mener motsatt, at spesielt på private PC'er er dette ekstra risikabelt ettersom arbeidet blir ofte manuelt og lagt opp til tilfeldigheter.

Nye og ukjente sårbarheter. Du får flytte til ørken da uten internett.

Begynner å bli ganske lei av de der konspirasjonsteoriene dine.

Jeg husker ikke hvem som nevnte Bluekeep exploit. Om det var deg eller noen andre. Som kun gjelder for servere eldre enn 2012 og windows 7.

Zero day vulnerability kjører vel bak RDP uansett så angriperen må først bli innlogget på serveren for å kunne kjøre de kodene. Chrome, WinSCP og Filezilla har alle kjente Zero day vulnerabilities som fremdeles er sårbare i dag. Vet at Chrome ikke så lenge tettet et hull som har vært åpent i flere år for hvem som helst som er innlogget på pcen til å se alle chrome passordene dine, inkludert Trojans og Worms hadde denne tilgangen. Men igjen, de fleste sårbarheter er inni systemet ikke utenfor.

[John-B]

10 minutes ago, Rudde said:

Har hørt dette gang på gang i alle år, men ingen sier hvorfor. 

Det er fordi det fleste "sikkerhetseksperter" veldig ofte kun snakker om hvorvidt noe er en risiko, og setter det ikke i kontekst i forhold til hvorvidt risikoen er akseptabel.

En billig hengelås har særdeles mange sikkerhetshull, og er ekstremt enkel å åpne. Så en sikkerhetsekspert vil jo påstå at den er fullstendig ubrukelig sikkerhetsmessig. Men de fleste forstår jo at låsen likevel kan være god nok til å bruke på uteboden...

Endret 11. mai 2020 av John-B

[Uderzo]

Rudde skrev (9 minutter siden):

Har hørt dette gang på gang i alle år, men ingen sier hvorfor. Hvis vi ser vekk fra VPN med 2FA, hva gjør det tryggere med å ha VPN eksponert kontra RDP om formålet ditt og målet ditt er RDP? La oss si det er noe annet du vil beskytte på nettverket, som en NAS sitt lagringsområde, er det da like dårlig ide å eksponere VPN direkte som og eksponere RDP? Hvis ikke, hvorfor?

Og det har aldri vært noe hysteri rundt eksponering av SSH om det er hva du vil selv uten key auth.

Fordi en VPN, såfremt den er satt opp riktig, er mye mer sikker enn RDP, som har hatt en rekke alvorlige sikkerhetsbrudd opp i gjennom.
Det er veldig uklokt å eksponere RDP ut på nettet uten noe som helst ekstra lag med sikkerhet. Hvis en person er villig til å ta den risikoen, så må h*n for all del gjøre det. Men risikoen er i høyeste grad reell.

Igjen, godt mulig det er snakk om privatpersoner som er villig til å ta den risikoen, men på jobben min så er det helt uaktuelt å eksponere SSH rett ut på nettet. Da hadde det blitt månelyst.

Det som bekymrer meg, er en slapp tilnærming til sikkerhet når man drifter nettbutikker og andre tjenester som har kundedata. Hvordan kan man stole på sikkerheten selv når det mest elementære blir tatt så lett på?