Gå til innhold

Åpne opp Remote Desktop utenfor hjemmenettverket?


Anbefalte innlegg

Fordi det er alikevel ganske vanskelig å bryte seg inn. Vi lagrer heller ikke kredittkort informasjon direkte på serveren. Og du måtte ha angrepet serveren med hundre tusenvis av proxier som både er langsomt og lite kosteffektivt for å få tilgang til SSH serveren vår.

De største hullene som nettbutikker har er SQL angrep hvor det er tilatt å bruke eller lagre tegn som *=?/' osv og du vil kunne få tak i brukerdata på den måten. La oss si at vi hadde tillatt ?= i passordet ditt så kunne du ha byttet passordet ditt til SELECT * FROM 'store_users' og neste gang du hadde logget inn så ville databasen spyttet ut alle recordsene vi har i store_users. Det er derfor vi bruker PDO blant annet og ikke tilatter noen av disse tegnene i API'en vår heller.

Andre potensiale sikkerhetshull er om våres hosting gateway hadde blitt hacket eller noen hadde forsøkt å hacke brukeren min der. Da hadde de fått fri tilgang og kunne byttet root nøkkel. Enda mer uheldig er jo at backup serveren også ligger der og hackeren ville kunnet ha kjørt oss out of business i løpet av sekunder. Det tredje sikkerhetshullet er om vi hadde installert en git pakke som hadde innholdet en skadevare og denne git pakken hadde kopiert alle filene våre til en annen server eller installert et annet program som vi ikke hadde ønsket. Det ville ikke ha ført til at vi måtte ha stengt ned sjappa men hadde alikevel påført en ganske stor skade i tillegg at hele kildekoden vår ville vært på aveie.

Så dere ser jo åpenbart at RDP ikke er min største trussel eller min største bekymring.

Endret av KGMK
Lenke til kommentar
Videoannonse
Annonse
2 hours ago, KGMK said:

Ja, 12345 ga ingen problemer. Nå blir du bare nødt å finne ut maskin navnet mitt, brukernavnet og passordet mitt. Som ikke burde være noe enkel utfordring.

Det finnes forresten ingen authorization deny etter 5 forsøk på RDP? Kun VNC som har denne funksjonen?

Maskinnavnet er enkelt. Det vises i sertifikatet som Windows setter opp for rdp, så maskinnavnet i seg selv ser man jo under skann av tjenester. Men maskinnavnet her har vel ikke noen funksjon i seg selv. Brukernavnet vil man vel ellers se så lenge du er logget inn så vidt jeg husker fra RDP.

Lenke til kommentar
1 hour ago, Rudde said:

Har hørt dette gang på gang i alle år, men ingen sier hvorfor. Hvis vi ser vekk fra VPN med 2FA, hva gjør det tryggere med å ha VPN eksponert kontra RDP om formålet ditt og målet ditt er RDP? La oss si det er noe annet du vil beskytte på nettverket, som en NAS sitt lagringsområde, er det da like dårlig ide å eksponere VPN direkte som og eksponere RDP? Hvis ikke, hvorfor?

Og det har aldri vært noe hysteri rundt eksponering av SSH om det er hva du vil selv uten key auth.

Spørsmålet er hvordan det hele er satt opp, uten å gå alt for mye i detaljer. Har man en VPN først, så sagt en maskin innenfor med RDP, så er det to hinder du skal gjennom for tilgang til den tjenesten.

Men slik mange bruker VPN-tjenester i hjemmesammenheng, så er det vel en ganske dårlig ide (i praksis åpne opp mot hele hjemmenettet, med løsningene som er integrert i en del konsumentrutere og som nødvendigvis ikke har spesielt gode funksjoner for å begrense tilgangen ut over brukernavn og passord).

Lenke til kommentar
58 minutes ago, KGMK said:

Fordi det er alikevel ganske vanskelig å bryte seg inn. Vi lagrer heller ikke kredittkort informasjon direkte på serveren. Og du måtte ha angrepet serveren med hundre tusenvis av proxier som både er langsomt og lite kosteffektivt for å få tilgang til SSH serveren vår.

De største hullene som nettbutikker har er SQL angrep hvor det er tilatt å bruke eller lagre tegn som *=?/' osv og du vil kunne få tak i brukerdata på den måten. La oss si at vi hadde tillatt ?= i passordet ditt så kunne du ha byttet passordet ditt til SELECT * FROM 'store_users' og neste gang du hadde logget inn så ville databasen spyttet ut alle recordsene vi har i store_users. Det er derfor vi bruker PDO blant annet og ikke tilatter noen av disse tegnene i API'en vår heller.

Andre potensiale sikkerhetshull er om våres hosting gateway hadde blitt hacket eller noen hadde forsøkt å hacke brukeren min der. Da hadde de fått fri tilgang og kunne byttet root nøkkel. Enda mer uheldig er jo at backup serveren også ligger der og hackeren ville kunnet ha kjørt oss out of business i løpet av sekunder. Det tredje sikkerhetshullet er om vi hadde installert en git pakke som hadde innholdet en skadevare og denne git pakken hadde kopiert alle filene våre til en annen server eller installert et annet program som vi ikke hadde ønsket. Det ville ikke ha ført til at vi måtte ha stengt ned sjappa men hadde alikevel påført en ganske stor skade i tillegg at hele kildekoden vår ville vært på aveie.

Så dere ser jo åpenbart at RDP ikke er min største trussel eller min største bekymring.

Men med tilgang til din hjemme-pc, ville man kunne fått tilgang til en del andre systemer hos din arbeidsgiver pga. lagrede credentials i en del programmer?

Med det du skriver ellers her om SQL og hva man kunne byttet passordet til - betyr det at du/dere lagrer passordene i klartekst og ikke en hash av passordet? ? (i tillegg til å ikke validere input...)

  • Liker 1
Lenke til kommentar
NULL skrev (7 minutter siden):

Men med tilgang til din hjemme-pc, ville man kunne fått tilgang til en del andre systemer hos din arbeidsgiver pga. lagrede credentials i en del programmer?

Med det du skriver ellers her om SQL og hva man kunne byttet passordet til - betyr det at du/dere lagrer passordene i klartekst og ikke en hash av passordet? ? (i tillegg til å ikke validere input...)

Nei, det var bare et eksempel. Vi lagrer det med vår egen krypteringsnøkkel. 

Men det du sier om maskin navn er ikke korrekt. Du får jo ikke spørsmål om å godta sertifiseringen uten å kunne maskin navnet først. Jeg testa jo dette nettopp på gjest brukeren. Skriver jeg inn IP'en min så får jeg ikke logget inn før jeg skriver maskinnavnet mitt. Så det finnes ikke noe magisk metode for å få opp maskin navnet på pcen min. Det du snakker om er jo når du først har innlogget inn.

Lenke til kommentar
Gjest Slettet+6132
1 hour ago, KGMK said:

Fordi det er alikevel ganske vanskelig å bryte seg inn. Vi lagrer heller ikke kredittkort informasjon direkte på serveren. Og du måtte ha angrepet serveren med hundre tusenvis av proxier som både er langsomt og lite kosteffektivt for å få tilgang til SSH serveren vår.

De største hullene som nettbutikker har er SQL angrep hvor det er tilatt å bruke eller lagre tegn som *=?/' osv og du vil kunne få tak i brukerdata på den måten. La oss si at vi hadde tillatt ?= i passordet ditt så kunne du ha byttet passordet ditt til SELECT * FROM 'store_users' og neste gang du hadde logget inn så ville databasen spyttet ut alle recordsene vi har i store_users. Det er derfor vi bruker PDO blant annet og ikke tilatter noen av disse tegnene i API'en vår heller.

Andre potensiale sikkerhetshull er om våres hosting gateway hadde blitt hacket eller noen hadde forsøkt å hacke brukeren min der. Da hadde de fått fri tilgang og kunne byttet root nøkkel. Enda mer uheldig er jo at backup serveren også ligger der og hackeren ville kunnet ha kjørt oss out of business i løpet av sekunder. Det tredje sikkerhetshullet er om vi hadde installert en git pakke som hadde innholdet en skadevare og denne git pakken hadde kopiert alle filene våre til en annen server eller installert et annet program som vi ikke hadde ønsket. Det ville ikke ha ført til at vi måtte ha stengt ned sjappa men hadde alikevel påført en ganske stor skade i tillegg at hele kildekoden vår ville vært på aveie.

Så dere ser jo åpenbart at RDP ikke er min største trussel eller min største bekymring.

Når du spør om hvordan du skal åpne for trafikk via RDO mot en maskin du har i ditt hjemmenettverk bør du ikke gjøre det. :)
For det er svært enkelt, men jeg ser at du får "hjelp" av noen som ikke skjønner at du faktisk vil ha tilgang via WAN.
Og det er jo litt rart.

Du må ha fast IP dersom det skal være noe poeng i å åpne dette sikkerhetshullet (som du pt ikke skjønner hvorfor foreløpig).

Eller så må du jo ha noen hjemme hele tiden som du kan ringe opp for å spørre om hva den ekstern IP'n din ISP har gitt din router.
Hver gang du ønsker å kjøre RDO mot din maskin i hjemmenettverket.

Det finnes diverse tjenester hvor du ikke trenger fast IP, men går via URL og Name-server (f.eks. DynDNS med flere).

Du bør allikevel aldri åpne en port som 3389 som i praksis er en helt åpen protokoll uten noen form for kryptering.

Sitat(McAfee):

Quote

To be very clear… RDP should never be open to the Internet

Igjen:
Dersom du ikke vet hvordan du når din egen PC i ett hjemmeverk via oppsett på router og (nødvendig) oppsett (SSH/kryptering.. tunnels..osv).. skal du ikke gjøre det.

 

Lenke til kommentar
TL1000S skrev (11 minutter siden):

Når du spør om hvordan du skal åpne for trafikk via RDO mot en maskin du har i ditt hjemmenettverk bør du ikke gjøre det. :)
For det er svært enkelt, men jeg ser at du får "hjelp" av noen som ikke skjønner at du faktisk vil ha tilgang via WAN.
Og det er jo litt rart.

Du må ha fast IP dersom det skal være noe poeng i å åpne dette sikkerhetshullet (som du pt ikke skjønner hvorfor foreløpig).

Eller så må du jo ha noen hjemme hele tiden som du kan ringe opp for å spørre om hva den ekstern IP'n din ISP har gitt din router.
Hver gang du ønsker å kjøre RDO mot din maskin i hjemmenettverket.

Det finnes diverse tjenester hvor du ikke trenger fast IP, men går via URL og Name-server (f.eks. DynDNS med flere).

Du bør allikevel aldri åpne en port som 3389 som i praksis er en helt åpen protokoll uten noen form for kryptering.

Sitat(McAfee):

Igjen:
Dersom du ikke vet hvordan du når din egen PC i ett hjemmeverk via oppsett på router og (nødvendig) oppsett (SSH/kryptering.. tunnels..osv).. skal du ikke gjøre det.

 

Nei, selvfølgelig. Bedre å aldri lære noe nytt. Du må forstå hva sitatene betyr før du siterer dem. McAfee snakker jo selvfølgelig om du har RDP åpen så vil andre kunne logge seg inn hvis de vet brukernavnet og passordet ditt. Hvis en trojan for eksempel får 1 minutt levetid på maskinen din og laster opp brukernavnet og passordet ditt til en payload server så kan dem permanent logge seg inn på systemet ditt. Selv etter at McShit har ryddet opp i trusselen. Det betyr ikke at folk kan magisk logge seg inn uten brukernavnet og passordet ditt.

Endret av KGMK
Lenke til kommentar
NULL skrev (3 minutter siden):

Så dere lagrer i praksis klartekst, men har alt kryptert med en enkelt felles nøkkel?

 

 

Nei, vi lagrer ikke i klartekst. Vi lagrer det etter det har blitt kryptert. Men en rekke ting lagrer vi i klartekst som ikke utgir en sikkerhetstrussel. 

Lenke til kommentar
1 minute ago, KGMK said:

Nei, vi lagrer ikke i klartekst. Vi lagrer det etter det har blitt kryptert. Men en rekke ting lagrer vi i klartekst som ikke utgir en sikkerhetstrussel. 

Men dere lagrer det slik det faktisk er reverserbart via deres krypteringnøkkel i stedet for å lagre det hashet?

Er ikke utvikler. Men ville sett for meg at noe som ville vært mer i nærheten av god praksis, ville vært å lagre via en slik kryptering er noe man ville gjort med generelle kundedata, mens passordet skulle vært (saltet og) hashet...

  • Liker 1
Lenke til kommentar
NULL skrev (Akkurat nå):

Men dere lagrer det slik det faktisk er reverserbart via deres krypteringnøkkel i stedet for å lagre det hashet?

Er ikke utvikler. Men ville sett for meg at noe som ville vært mer i nærheten av god praksis, ville vært å lagre via en slik kryptering er noe man ville gjort med generelle kundedata, mens passordet skulle vært (saltet og) hashet...

Ja, det er en god ide. Får slå opp en Udemy tutorial på det i nærmeste framtid. Passordet er i teorien reverserbart hvis de vet våres krypteringsnøkkel. På betalingsterminalen vår så kan dette være en grei løsning, men uansett om hackerne vet passordet til brukeren så får han ikke logget inn uten å verifisere med SMS.

Lenke til kommentar

Med noen forhåndsregler så går det nok fint

  1. Ser du allerede har brukt en ikke-standard port, det er bra
  2. Tillatt kun NLA (Network Level Authentication)
  3. Ikke tillatt brukernavn "Administrator" eller "admin".
  4. Aktiver lockout:active-directory-on-premises-account-loc
  5. Ikke benytt kombinasjonen av brukernavn og passord andre steder på nettet
  6. For kommersiell bruk så finnes det ingen unnskyldning for å ikke i tillegg ta i bruk VPN eller Remote Desktop Gateway.
  • Liker 1
Lenke til kommentar
aklla skrev (1 time siden):

Vet det neppe påvirker TS sitt valg, men kanskje andre:
1,5 millioner infiserte klienter som jobber med å brute-force RDP mot andre klienter..

https://www.zdnet.com/article/a-botnet-is-brute-forcing-over-1-5-million-rdp-servers-all-over-the-world/

Bla bla, botnets. Vi driver et betalings selskap. Hver mnd får vi en håndfull med Paypal refunds fra akkurat slike 'botnet iper'. Det jeg skal si er at disse er ikke residental IP'er. Det er business IP'er og datacenter IP'er. Vår cloudflare og Google DNS blokkerer disse IP'ene automatisk når de når vår betalingssider. Hvis Google ikke blokkerer disse, ser vi nærmere på ISP'en. Og vi er ganske flink på å oppdage en falsk betaling. Fordi vi ser når en IP ikke er fra et residential netverk. En kvalitet IP fra et botnet nettverk selges for $30 per GB så de fleste vil ikke benytte disse IP'ene for bruteforce. Da hvert bruteforce forsøk krever 1-5MB. Det de bruker for det meste til er å kjøpe sko på nettet, falske trustpilot reviews og falske google reviews innlegg. Og hvem er verdens største botnet aktør i dag? Hola! nettverket. Tviler sterkt på at noen andre har utviklet et super-virus bedre enn Hola. Som per dags dato er 100% lovlig.

Tror jeg bare stenger denne tråden for alle disse amatør innleggene denne tråden får. Ikke vits i å linke oss tråder fra nettet fra znet og andre aviser da vi jobber med å akkurat forhindre disse datamaskinene fra å få tilgang til våre nettsider.

Skal si at aviser er veldig sein til å forstå eller forstår veldig likte av konteksten på ting. Var en avis, VG tror jeg, som sa forhin dagen at Coronaviruset kom til å vare i 2 år framover. Det de ikke forstod er at det ikke er Cornaviruset som kommer til å vare i 2 år framover, men det er arbeidsledigheten som kommer til å få en påkjenning i 2 år framover. Denne informasjonen fikk de fra enn annen avis som sa det samme. Men hoved kilden sa påpekte arbeidsledigheten og ikke corona viruset. En leser fra en annen og slik sprer feil informasjonen seg videre. Er verdt å være litt kilde krittisk til ting da disse reportene er akkurat som alle andre på en IQ snærere på 105. Det er en grunn for at de er repportere og ikke verdi skapere.

Endret av KGMK
Lenke til kommentar
KGMK skrev (27 minutter siden):

Bla bla, botnets. Vi driver et betalings selskap. Hver mnd får vi en håndfull med Paypal refunds fra akkurat slike 'botnet iper'. Det jeg skal si er at disse er ikke residental IP'er. Det er business IP'er og datacenter IP'er. Vår cloudflare og Google DNS blokkerer disse IP'ene automatisk når de når vår betalingssider. Hvis Google ikke blokkerer disse, ser vi nærmere på ISP'en. Og vi er ganske flink på å oppdage en falsk betaling. Fordi vi ser når en IP ikke er fra et residential netverk. En kvalitet IP fra et botnet nettverk selges for $30 per GB så de fleste vil ikke benytte disse IP'ene for bruteforce. Da hvert bruteforce forsøk krever 1-5MB. Det de bruker for det meste til er å kjøpe sko på nettet, falske trustpilot reviews og falske google reviews innlegg. Og hvem er verdens største botnet aktør i dag? Hola! nettverket. Tviler sterkt på at noen andre har utviklet et super-virus bedre enn Hola. Som per dags dato er 100% lovlig.

Du vet at det du skriver her strengt tatt ikke gir noe mening?
Viser desverre bare din manglende forståelse..

  • Liker 1
  • Innsiktsfullt 1
Lenke til kommentar
Gjest Slettet+6132
4 hours ago, KGMK said:

Nei, selvfølgelig. Bedre å aldri lære noe nytt. Du må forstå hva sitatene betyr før du siterer dem. McAfee snakker jo selvfølgelig om du har RDP åpen så vil andre kunne logge seg inn hvis de vet brukernavnet og passordet ditt. Hvis en trojan for eksempel får 1 minutt levetid på maskinen din og laster opp brukernavnet og passordet ditt til en payload server så kan dem permanent logge seg inn på systemet ditt. Selv etter at McShit har ryddet opp i trusselen. Det betyr ikke at folk kan magisk logge seg inn uten brukernavnet og passordet ditt.

Det er ikke om at noen skal "logge" seg inn på en maskin på en port med ukryptert trafikk (RDO).
Det er det minste problemet her.

Når du logger deg på din vidåpne router fra CafeLatte-baren din for å "drifte" din maskin via RDO, så kan enhver dreven hacker se alt du sender over WAN når de har tilgang til din trafikk.

Uavhengig på hvordan og hvor i nettet de har fått inn en "wire-shark". 

Det er det som er "root cause" til at du ikke bør åpne for RDO på din router.

Du kan bruke RDO, men da via SSH/Tunnels, VPN.. etc.

Men du kan godt stenge tråden dersom du ikke liker svar/velmente råd i tråden.

Du vet tydeligvis alt virker det som,  men ikke hvordan du får til å kjøre RDO (sikkert) via en router i ditt hjemmenett.

Mystisk. :)

Lenke til kommentar
TL1000S skrev (4 minutter siden):

Du vet tydeligvis alt virker det som,  men ikke hvordan du får til å kjøre RDO (sikkert) via en router i ditt hjemmenett.

Ikke uvanlig at de som kan en dråpe om ett tema er eksperter i deres hode og vet mer enn de som har ti-år med erfaring..

  • Liker 1
Lenke til kommentar

Selvfølgelig vet jeg det. Kan fint bare stenge denne tråden. 
Ser bare ut som folk poster ting som de leser på nettet for 1-5 år siden. Som er skrevet av folk som jobber teoretisk innenfor noe, men ikke har noen praktisk erfaring.

Hade det bra!

Lenke til kommentar
Gjest Slettet+9817234
KGMK skrev (6 timer siden):

Så dere ser jo åpenbart at RDP ikke er min største trussel eller min største bekymring.

Jeg har jobbet med dette profesjonelt. For et par-tre år siden fikk jeg en henvendelse fra en ny kunde. Da de kom på jobb og slo på skjermene, var alle maskiner og servere infisert med løsepengevirus. Hackere hadde fått tilgang via en sårbarhet i RDP-protokollen. Selv om alt tilsynelatende var sikkert og riktig satt opp av leverandøren, så hjelper ikke det når selve programvaren har sikkerhetshull. Kun én maskin i hele nettverket var uberørt, den hadde RDP deaktivert. Alle andre hadde fått alle disker kryptert, inkluderte servere og NAS-disker. Uten min bistand hadde selskapet gått konkurs. Det ble dyrt.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...