Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: pruzkumbojem 09. 11. 2023, 10:39:46
-
Tohle mi komplikuje zivot:
navstivil jsem on site v Nemecku, zatraceny Remote Desktop ke mne domu nefunguje.
Pres firemni Guest AP, nejde. OK, zadne prekvapeni.
Ale nejde mit ani pres hotspot na mym mobilu. Myslel jsme si, ze mam neco rozvrtane doma nebo na roamingu. Jenomze v hotelu to funguje.
Ze by budova mela nejaky BTS opakovac ci primo malou BTS a ta by blokovala RDP ci zahranicni IP adresy? To uz je hodne paranoidni.
-
P.S.
V prizemi tehle megabudovy sedi presne tri lidi. Vratny, kolega co priletel z Australie na mesic a ja z Cech na dva dny. Vsechny schuze jsou remote, Nemci nejsou vubec (oni uz pomalu zalehavaji do zimniho spanku a Workshopy maji problem s dochazkou) nebo remote.
Takze jako obvykle sem netahejte oblibeny cesky nazor "remote je spatne" "je treba byt onsite a vytvaret hodnoty tvari v tvar zakaznikovi"
Ja potkavam jinou realitu.
-
Neni RDP na verejnem portu trocha riskantni ?
Kdyz uz tak VPN domu (openvpn/wg) a pak az rdp/ssh a jine hratky.
Ta filtrace muze byt i nekde po ceste, spise nez BTS blokujici RDP to bude nejaky router ISP co tohle blokuje mimo sit.
-
pravda, ale ja tohle je spis vyjimecne (od te doby, co mi upgrade Unifi rozbil wireguard, si zase budu muset najit a zabit cas), a jen kdyz musim zvednout zadek.
pochopitelne to nemam na 3389, ale nekde vysoko a nejedu to primo na muj stolni pocitac, ale na locknute VM v Proxmoxu.
tazke to muze byt blokovani vseho mimo krome 80 a 443 (eurotel to svyho casu popiral ale delal to). ale jak rikam, o 5 km dal z hotelu to funguje. Stejny mobilni operator.
Neni RDP na verejnem portu trocha riskantni ?
Kdyz uz tak VPN domu (openvpn/wg) a pak az rdp/ssh a jine hratky.
Ta filtrace muze byt i nekde po ceste, spise nez BTS blokujici RDP to bude nejaky router ISP co tohle blokuje mimo sit.
-
Jestli jsi jakoze v roamingu, tak zkus jinou mobilni sit - operatora - treba bude jinak nastavenej jejich FW.
-
BTS nevidí IP trafik, ten je o několik úrovní výš.
Operátor či někdo po cestě může blokovat rdp protokol kvůli bezpečnosti, dnes má neopravitelné zranitelnosti a nelze ho zabezpečit, proto nesmí být veřejně.
-
pochopitelne to nemam na 3389, ale nekde vysoko a nejedu to primo na muj stolni pocitac, ale na locknute VM v Proxmoxu.
Port nikoho nezajima, analyzuje se obsah a pokud to charkteristikou neodpovida HTTP/HTTPS provozu tak to prisnejsi poskytovatel proste zarizne a muzes to mit na jakem portu chces.
-
pochopitelne to nemam na 3389, ale nekde vysoko a nejedu to primo na muj stolni pocitac, ale na locknute VM v Proxmoxu.
Port nikoho nezajima, analyzuje se obsah a pokud to charkteristikou neodpovida HTTP/HTTPS provozu tak to prisnejsi poskytovatel proste zarizne a muzes to mit na jakem portu chces.
DPI dělá opravdu málo operátorů a že by blokovali jinak než podle portů jsem se v DE a CZ nesetkal (mluvím o operátorech, ne o free wifi).
Každopádně změna rdp portu ze zkušenosti nepomáhá a a to ani na změnu na čísla 40000 výše, ty skenery jsou dnes efektivní, rychlé a občas se trefí na tebe a proskenují.
-
nejde.
vidim 3.u Vodafone mi to rovnou do nazvu dava "forbidden" a ten druhej to odmitne po dlouhem "connecting"
Jestli jsi jakoze v roamingu, tak zkus jinou mobilni sit - operatora - treba bude jinak nastavenej jejich FW.
-
Tohle mi komplikuje zivot:
navstivil jsem on site v Nemecku, zatraceny Remote Desktop ke mne domu nefunguje.
Pres firemni Guest AP, nejde. OK, zadne prekvapeni.
Ale nejde mit ani pres hotspot na mym mobilu. Myslel jsme si, ze mam neco rozvrtane doma nebo na roamingu. Jenomze v hotelu to funguje.
Ze by budova mela nejaky BTS opakovac ci primo malou BTS a ta by blokovala RDP ci zahranicni IP adresy? To uz je hodne paranoidni.
No, vzhledem k tomu, ze jste se neobtezoval sdelit o jakeho ISP a rozsah adres se jedna (treba v tom hotelu nebo u Vas doma), ani jaky byl vysledek packet capture na Vasem domacim FW (abyste zjistil, zda tam pakety dorazi), tak si chcete asi jen postezovat...
Pokud si na to VM nebo Proxmox nahodite jinou ale bezpecnou sluzbu (treba SFTPGo nebo webserver v dockeru - prace na 5 minut), tak se k ni take nepripojite?
Nevim, co je firemni Guest AP. Tuneluje to provoz na controller (v tom pripade Vas nemuze pritomnost v Nemecku nicim limitovat, pokud je AP ke controlleru pripojeno)? V Cechach Vam to normalne funguje?
Vystavovat RDP do internetu dle me "zakazane" neni, ale je to samozrejme volovina. Nevim, v cem by Vas melo ochranit, ze jde o "locknute" VM, pokud ho tedy nemate jen k tomu, abyste se cas od casu kouknul zda bezi. Pokud na nem pracujete (zjevne), tak je to stale bezpecnostni riziko.
-
Zrovna včera mi volal zákazník, že se nemůže připojit VPN do firmy skrze hotspot v mobilu. VPN běžně používá po různých WiFiních. Byl jsem v autě, tak jsem mu nebyl schopen nijak pomoct. Za chvíli mi volal znovu, že zkusil v mobilu zakázat 5G a přes LTE mu to funguje. Za mě trošku WTF, ale čert ví, co tam ten operátor má.
-
Zrovna včera mi volal zákazník, že se nemůže připojit VPN do firmy skrze hotspot v mobilu. VPN běžně používá po různých WiFiních. Byl jsem v autě, tak jsem mu nebyl schopen nijak pomoct. Za chvíli mi volal znovu, že zkusil v mobilu zakázat 5G a přes LTE mu to funguje. Za mě trošku WTF, ale čert ví, co tam ten operátor má.
A co tam má za vpn? Oni totiž různé ipsec, l2pt mají problém často s hotstopy, ipv6, natem a dalšími vylomeninami, co nám operátoři řádi dávají. IP vpn zpravidla ale fungují úplně bez problémů.
-
A co tam má za vpn?
Tak jak píšeš, L2TP/IPsec.
-
WTF, vypnul jsem 5G a zacalo to fungovalo.
takze zrejme v okoli hotelu 5G nefunguje ,takze problem nebyl
Zrovna včera mi volal zákazník, že se nemůže připojit VPN do firmy skrze hotspot v mobilu. VPN běžně používá po různých WiFiních. Byl jsem v autě, tak jsem mu nebyl schopen nijak pomoct. Za chvíli mi volal znovu, že zkusil v mobilu zakázat 5G a přes LTE mu to funguje. Za mě trošku WTF, ale čert ví, co tam ten operátor má.
-
BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10
-
BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10
já psal neopravitelné zranitelnosti a ne nezáplatované CVE :). Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.
Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.
Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.
RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.
-
diky, to je docela uspokojiva odpoved s vysokou hustotou informace.
ponechavam stranou ten fakt, ze nefunkcnost RDP koreluje s 5G (minimalne s danem meste, nebudu se namahat experiementovat vic).
ponechavam stranou, ze vzdy tunelovat treba skrz WireGuard (kdyz okamzita nalada firewallu nebo ISP dovoli). (Protoze Unifi a SIM od Tmobilu nemusi )
OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?
-
OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?
Seriozni je, aby mira zabezpeceni odpovidala hodnote prenasenych dat.
-
Ach, zname "mnozstvi vetsi nez male"
Hodnota tedo odpovedi je doslova nula.
OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?
Seriozni je, aby mira zabezpeceni odpovidala hodnote prenasenych dat.
-
Asi si to nepochopil.. tvoje minus, respektive nula minus.
-
BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10
já psal neopravitelné zranitelnosti a ne nezáplatované CVE :). Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.
Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.
Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.
RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.
co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím
-
BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10
já psal neopravitelné zranitelnosti a ne nezáplatované CVE :). Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.
Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.
Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.
RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.
co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím
Navíc pojednává o útoku na “MS RDP gateway”, ne o RDP na win10. Určitě by se našel lepší příklad…
Tím nechci říct, že jsem pro to, publikovat RDP.
Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows
-
OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?
nikto nemoze vediet vsetko, ale to, ze RDP nepatri na internet je dla mojich znalosti "vseobecne znama dlhorocna vedomost" (nezivi ma to, takze som si zo zaujmom precital vyssie uvedene dovody).
t.j. ked to bolo teraz pre Vas prekvapenie, tak najrozumnejsie asi bude hodit na obede rec s nejakym bezpecakom z korporatneho sveta.
Predpokladam, ze rozumna odpoved je nejaka VPN, ktora dostava aktualizacie a do tej zabalit cokolvek co clovek tuzi pouzit.
Osobne si myslim, ze TV spusteny na limitovanu dobu s dohladom zodpovedneho cloveka, je vramci moznosti bezpecny postup.
-
Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows
Přesně. Prostě zabalit do něčeho, co je možné považovat za dospěle bezpečné, ať už (nejlepší) nějaká forma VPN, nebo alespoň tls s verifikací klienta (v linuxu máme stunnel), a neřešit, kde ještě strejda Bill mohl nechat další díru.
-
OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?
nikto nemoze vediet vsetko, ale to, ze RDP nepatri na internet je dla mojich znalosti "vseobecne znama dlhorocna vedomost" (nezivi ma to, takze som si zo zaujmom precital vyssie uvedene dovody).
t.j. ked to bolo teraz pre Vas prekvapenie, tak najrozumnejsie asi bude hodit na obede rec s nejakym bezpecakom z korporatneho sveta.
Predpokladam, ze rozumna odpoved je nejaka VPN, ktora dostava aktualizacie a do tej zabalit cokolvek co clovek tuzi pouzit.
Osobne si myslim, ze TV spusteny na limitovanu dobu s dohladom zodpovedneho cloveka, je vramci moznosti bezpecny postup.
Souhlasím, taky to líp proleze. Nebo nějaký podobný SW.
-
no jak vidim tvoje "rady" u jineho tematu,
tak jsem to celkem pochopil. jen bych to rozsiril. Pridana hodnota tve existence tady na foru je nula.
Asi si to nepochopil.. tvoje minus, respektive nula minus.
-
RDP na verejny port zkratka nepatri (ani kdyz zmenis ten defaultni), pokud uz musis pouzit RDP tak maximalne na LAN a tam se pak ze sveta dostavat nejakou VPNkou.
Dalsich reseni existuje dnes uz docela mnoho TeamViewer, Anydesk,... a ac taky nejsou bez chyb/problemu, tak vsechno lepsi nez RDP na verejnem portu.
-
Zrovna včera mi volal zákazník, že se nemůže připojit VPN do firmy skrze hotspot v mobilu. VPN běžně používá po různých WiFiních. Byl jsem v autě, tak jsem mu nebyl schopen nijak pomoct. Za chvíli mi volal znovu, že zkusil v mobilu zakázat 5G a přes LTE mu to funguje. Za mě trošku WTF, ale čert ví, co tam ten operátor má.
V rozsahlych sitich je mozne mit na ruznych sitich rozjetou jinou infrastrukturu co to odbavuje. Tim spise v mezifazich upgradu core a to se muze tahnout treba 5 let.
Napr. pro 2G,4G,5G. Casto se i clovek dohrabe pres uplne jiny sitovy prvek trochu jinak nastaveny ve dvou lokalitach nebo casech. A neni vyjimkou kdy se clovek trefi do nejakeho meziupgradu.
NAT traversal testy na vsechny variace protokolu u CGNATu/stavoveho fw/ruznych silenych automatickych "prezervativu" nebyvaji uplne bezna akceptacni kriteria a necekejte ze v tehle kritickych vecech je nejak daleko infrastructure as a code.
Rada: j.... support a tickety na operatora intenzivne a stale. Presne casy,lokace,protokoly,identifikatory spojeni, snap z packet snifferu atd. Nic jineho nepomuze nez intenzivni palba. Cim vetsi zakaznik tim vetsi munice. Az zakos za to vsechno uvidi fakturu uz vas mozna priste nebude obtezovat :-)
-
co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím
Navíc pojednává o útoku na “MS RDP gateway”, ne o RDP na win10. Určitě by se našel lepší příklad…
Tím nechci říct, že jsem pro to, publikovat RDP.
Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows
Máš pravdu, určitě by se našel lepší příklad, měl jsem to v poznámkách k RDP, na sdělení to ale moc nemění.
DoS útok je občas hodně podceňovaný, ale může vyprovokovat uživatele nebo admina k neuváženým a nebezpečným krokům (nejde mi RDP, zkusím hledat jakékoliv řešení; nefunguje mi RDP server? Zkusím to debugovat, vypnu FW atd.). Vytížení služby by mělo korelovat se síťovým provozem a jakákoliv asymetrie je dnes chápána jako špatně.
RDP je příliš starý protokol, umožňuje přihlašování pouze přes jméno a heslo, žádné 2FA, žádný SAML/oauth2, žádné rotování klíčů. Podívejte se jak vlastně funguje inicializace, klient pošle seznam šifrovacích algoritmů, server odpoví, který si vybral (RSA RC4 je pořád ve velké části instalací kvůli kompatibilitě, CredSSP je zase nedílnou součástí firemních instancí). Pak klient zahájí MSC část komunikace, kdy vyzpovídá server o jeho reáliích (hostname, product ID, build ID, resolution, desktop atd. atd.) k tomu mu ještě napráská, které channely jsou volné a které obsazené, klient si nějaký vybere a ten obsadí (= DoS). A až tady jde na řadu sdělení jména a hesla.
Vidíte ten problém? Dříve než se objeví autorizace klienta, tak probíhá poměrně ukecaná komunikace, server na sebe napráská kdeco a pak se teprve klient může rozhodnout, jestli se teda ráčí přihlásit a pošle jméno a heslo.
Je naprosto nedůležité, jaké CVE jsou a jestli jsou nějaké neopravené, ten protokol je sám o sobě nemocný a není radno ho vystavovat veřejně, musí se vždy schovat, to není jen takové bezduché doporučení.