Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: stredni-vlny 26. 05. 2024, 09:34:28
-
Vím, že o tom bylo napsáno už hodně, ale prosím o názory jak moc bezpečná / nebezpečná je vzdálená plocha Win 11 (RDP) na veřejné IP? Jedná se mi zejména o posouzení ve spojení s mým firewallem (popíši níže). Případně prosím o tipy, co ještě nastavit, aby použití bylo co nejbezpečnější (snad prý existuje i nějaká brána vzdálené plochy).
Mám nějaká zařízení na remote stanovišti a potřebuji k nim přistupovat - používám přesměrování několika portů na routeru do vnitřní sítě. O VPN zatím neuvažuji (možná v budoucnu). I když se to moc nezmiňuje, možná by se dala vést i polemika, jestli je bezpečnější do vnitřní sítě přes VPN zvenku pouštět PC, se kterým se leze všude možně po netu, nebo jestli je bezpečnější otevřít pouze některé porty na kterých jsou ty služby chráněné heslem, s tím, že jinak se do vnitřní sítě leze co nejméně.
Port vzdálené plochy je samozřejmě změněn na "vysoký", firewall na routeru mám postavený tak, že pokud někdo ohmatává porty z celého rozsahu až do těch 65 tis, jde okamžitě na blaclist a druhý port, i kdyby byl správný, už ani nezkusí. Na blacklistu je podle závažnosti, jak se blížil k používaným portům buď hodiny nebo i dny. Útočník by se tedy musel hned napoprvé trefit na ten správný port a musel by hned vědět co tam běží.
Když to vezmu, že takové skenování portů je asi cca jedno za sekundu, tak za 4 roky provozu se dvakrát stalo, že se někdo napoprvé trefil do otevřeného portu, ale nikam se stejně nedostal (hesla), navíc při druhém portu ho to v obou případech hned zablokovalo. Podle mého názoru někdo např. musel odchytit komunikaci v síti ISP, jinak to ani není možné. Každopádně, myslím si, že firewall mám dobrý. Ale zpět k tématu, jak jinak tu vzdálenou plochu zabezpečit?
Provizorně jsem to povolil jen ze známých WAN adres, ale to není řešení do budoucna. IP adresy se mohou měnit a navíc je pohodlné mít přístup odkudkoliv. Několik let jsem takto na Linuxu a Win používal NoMachine, tam problém nebyl, ale když mám nyní PRO verzi Win, chtěl bych použít přímo nástroj v OS. Vzdálená plocha měla údajně nějaký problém s dírou v bezpečnosti v minulosti, ale ve Win 11 už je to snad vyřešené.
Díky za všechny konstruktivní rady.
-
Zdravim, ja misto RDP pouzivam MeshCentral - jakysi opensource TeamViewer, konkretne https://github.com/Ylianst/MeshCentral - umi to linux, wokna i mac a da se to ruzne vzdalene zabezpecit MFA, klicem, certifikatama... jak je libo a funguje to skvele. Zkusi; bych a doporucil tohle, protoze to autori stale vyvijeji a aktivne zaplatuji eventuelni problemy.
-
Já když jsem takhle měl kdysi na veřejné IP Windows XP, tak jsem si na z venku dostupný port dal SSH a RDP tuneloval přes SSH.
Nemám zkušenost konkrétně s MeshCentral, ale všechny alternativní aplikace pro přístup na vzdálenou plochu co jsem kdy zkoušel byly ve srovnání s RDP dost hrozné, ve smyslu odezvy a příjemnosti práce s tím.
-
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).
-
VPN + dobre nastaveny RDP je rozhodne lepsi nez kazdy zpusob samostatne. Navic celou radu VPN lze provozovat tak, ze jsou bez odposlechu nedetekovatelne (treba WireGuard, OpenVPN)
-
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).
Tyhle politiky se vztahují pouze na klienta pro ˇPřipojení ke vzdálené ploše" (mstsc.exe) na stroji kde jsou nastaveny, tedy toto nemůžeš vynutit vzdáleně u klienta.
-
Nedávno tu bylo vlákno.. RDP protokol evidentně není vrchol bezpečnosti. Když ne VPN, tak bych to aspoň zabalil do SSH.
-
Provozovat RDP, byť na nestandardním portu a zároveň neuvažovat o VPN, to je asi jako osadit bezpečností dveře dozickou zámkovou vložkou a myslet si, že to nikdo nepřekoná :D
Osobně mám v síti (kde je PC s RDP) router se spuštěným OpenVPN serverem na veřejné IPv4 a na tom konkrétním PC s RDP pak nastavený firewall viz obr. níže. PC s RDP má pochopitelně fixní IP adresu ve vnitřní síti, přes kterou se do něho dostanu z jiných zařízení, na kterých je aktivní OpenVPN klient (NB, mobil, jiné PC). Na PC s RDP mně běží W10 Pro, ale předpokládám, že u W11 Pro to bude identické (nebo aspoň podobné).
(https://i.imgur.com/tVhivUa.jpeg)
-
Pred nedavnom mali k meshcentral prednasku na installfestu (https://www.youtube.com/watch?v=MJDXIb1Fw68).
Ja tiez vsetko rad skusam a testujem na ostrom internete, ale vzdy je lepsie pouzit VPN. Zrejme velmi dobre riesenie je wireguard.
K wireguard sa priznava vacsina spolocnosti, ktore poskytuju VPN pripojenia.
-
Provozovat RDP, byť na nestandardním portu a zároveň neuvažovat o VPN, to je asi jako osadit bezpečností dveře dozickou zámkovou vložkou a myslet si, že to nikdo nepřekoná :D
Tak je tam ještě ten, podle mého laického názoru "silný" firewall, který pokud se někdo hned napoprvé netrefí do otevřených portů, každoho hned blokuje. To je taková maličkost, kterou jste jaksi přehlédl.
A nenapadlo Vás, že prostě VPN je pro dané využití další komplikace? Je to prostě radioamatérské zařízení s několika SDR přijímači Perseus. Nepotřebuji jenom vzdálenou plochu, ale např. i přímou a hlavně rychlou komunikaci po UDP portech (přijímače v režimu server - klient), dále přístup do Raspberry a Debianu anebo do některých I/O modulů. Já jsem s VPN kdysi koketoval, mám tam dva Mikrotiky a na nich to jde spustit. Bohužel, komunikace nebyla úplně nejsvižnější + plno dalších problémů (připojování z více míst, zařízení atd...). Navíc jak říkám, stále i když každý bezhlavě propaguje VPN, tak stále řeším polemiku, jestli je bezpečné tu síť úplně otevírat venkovním počítačům, se kterými se leze všude na netu? Ano, zase další firewall a zase další pravidla přes ta první pravidla pro připojené vnější počítače... Jenže, takhle jsou otevřené pouze některé porty, chráněné hesly + firewallem a tečka... do té vnitřní sítě se prostě snažím lézt co nejméně.
Pokud budu o VPN uvažovat, tak jedině v souvislosti s možným úplným přechodem na IPV6. Přijímače Perseus jsou sice drahá a po rádiové stránce špičková zařízení, ale pro režim klient - server software podporuje jen IPV4. Tedy v budoucnu bude asi tunel potřeba. Vzdálenou plochu potřebuji také co nejsvižnější. Přijímače kromě režimu server - klient umožňují i práci s místním PC - např. pro široké nahrávky spektra. Ideálně i s přístupem z mobilu, aby bylo kdykoliv možné se připojit a třeba zadat nahrávání.
Omlouvám se, ale vzdálená plocha Win je zatím to nejlepší, co jsem objevil. A opravdu jsem zkusil všechno možné, všelijaká VNC, Anydesk, TW, dlouho jsem používal i NoMachine - kromě Win i s Linuxem a Linradem. Nic prostě nebylo ono. Až nyní. Je to takový rozdíl, že z původního dualbootu jsem raději přešel jen na Win a kromě origo softwaru Perseus, který je jen pro Win, jsem ten Linuxový Linrad zprovoznil raději také ve Win.
Nezanedbatelná ochrana je i to, že PC prostě neběží 24/7, ale dálkově mohu ovládat přes net i povely pro jeho zapnutí (1s impuls, jako kdyby se zmáčklo tlačítko napájení). Pokud je PC vypnutý, tak se do něj útočník stejně nedostane. Pokud je zapnutý, obyčejně už RDP relace běží.
Jako zajímavé řešení se alespoň teoreticky jeví to SSH, teoreticky by přes SSH možná šla tunelovat i komunikace přijímačů, i když četl jsem o tom, že u SSH bývají problémy s UDP přenosem.... otázka, jestli to nebude padat, jako to VPN... SSH na PC stejně plánuji spustit pro přenos souborů (nahrávek), Win má svůj OpenSSH server...i když na konfiguraci jsem si včera večer vylámal zuby, to uznávám, že oproti tomu konfigurace SSH v Linuxu je hračka. Tunelování SSH by se možná dalo zprovoznit i do vnitřní sítě na jednom z Mikrotiků. Otázka je, jestli pak místo zabezpečení RDP nebudu řešit zabezpeční SSH a nebudeme tam, kde jsme byli:-)))
Pochopte prosím, že účelem celého projektu není hrát si se sítí a nastavením výpočetní techniky..to musí prostě co nejjednodušeji a spolehlivě fungovat, maximálně občas zkontrolovat logy....účelem projektu je hrát si s těmi přijímači, anténami a vlnami.
-
Jinak, samozřejmě všem děkuji za dosavadní reakce a odpovědi
-
Jinak, samozřejmě všem děkuji za dosavadní reakce a odpovědi
Tak určite přes VPN, pokud není jiná možnost a pokud to tvůj FW umí, tak restrikce na konkrétní zdrojové IP nebo na IP s geolokaci, třeba jen na CZ
-
Provozovat RDP, byť na nestandardním portu a zároveň neuvažovat o VPN, to je asi jako osadit bezpečností dveře dozickou zámkovou vložkou a myslet si, že to nikdo nepřekoná :D
Tak je tam ještě ten, podle mého laického názoru "silný" firewall, který pokud se někdo hned napoprvé netrefí do otevřených portů, každoho hned blokuje. To je taková maličkost, kterou jste jaksi přehlédl.
To je celkem úsměvné řešení, protože třeba u mobilních operátorů používá jednu IP adresu půlka města, takže s takovou za chvíli bude zablokován úplně každý. A paradoxně se tam pak člověk třeba nedostane ani sám, když se někde přes mobil bude snažit připojit taky a jako na potvoru už bude IP adresa na blacklistu :D
-
To je celkem úsměvné řešení, protože třeba u mobilních operátorů používá jednu IP adresu půlka města, takže s takovou za chvíli bude zablokován úplně každý. A paradoxně se tam pak člověk třeba nedostane ani sám, když se někde přes mobil bude snažit připojit taky a jako na potvoru už bude IP adresa na blacklistu :D
Tak hlavně, že se bavíte... problém je, že v 99,999 procentech nejsou útoky a skenování portů z běžných sítí v ČR. Schválně si u svého vlastního routeru zkuste někdy logovat pingování a skenování portů, dělají to nejvíce automaty z Ruska, Ukrajiny, USA, Nizozemska, Německa, Indie... takový automat, který by fungoval s mobilními daty v nějakém malém městě v ČR bych fakt chtěl vidět....
Naopak, lepší řešení jsem zatím nenašel, je strašně jednoduché a navíc účinné... zkusítě jeden port a jdete do pr.....
-
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).
Tyhle politiky se vztahují pouze na klienta pro ˇPřipojení ke vzdálené ploše" (mstsc.exe) na stroji kde jsou nastaveny, tedy toto nemůžeš vynutit vzdáleně u klienta.
Naopak, tohle se nastavuje na straně serveru, aby klientovi vnutil nutnost pokaždé heslo naťukat, takže uložené nebo na příkazové řádce napsané přihlašovací údaje nebudou fungovat, vždycky se to znovu dotáže na heslo, které se musí napsat.
A znovu říkám: nevím přesně, zda to funguje univerzálně pro všechny klienty, nebo může existovat klient (imho může), který to dokáže i tak zautomatizovat (nepočítám takové ty "autotype" fíčury, jako má třeba KeePass apod.). Mám to tak nastavené taky na jedné veřejně vystavené vzdálené ploše (ostatně odtud je ten screenshot) a funguje to tak, jak říkám.
Google mě na dotaz přímo k MS nezavedl, tak alternativní link zde (https://www.tenforums.com/tutorials/92824-enable-always-prompt-password-upon-remote-desktop-connection.html).
-
To je celkem úsměvné řešení, protože třeba u mobilních operátorů používá jednu IP adresu půlka města, takže s takovou za chvíli bude zablokován úplně každý. A paradoxně se tam pak člověk třeba nedostane ani sám, když se někde přes mobil bude snažit připojit taky a jako na potvoru už bude IP adresa na blacklistu :D
Tak hlavně, že se bavíte... problém je, že v 99,999 procentech nejsou útoky a skenování portů z běžných sítí v ČR. Schválně si u svého vlastního routeru zkuste někdy logovat pingování a skenování portů, dělají to nejvíce automaty z Ruska, Ukrajiny, USA, Nizozemska, Německa, Indie... takový automat, který by fungoval s mobilními daty v nějakém malém městě v ČR bych fakt chtěl vidět....
Naopak, lepší řešení jsem zatím nenašel, je strašně jednoduché a navíc účinné... zkusítě jeden port a jdete do pr.....
Já to mám opačně. Nejdřív je potřeba v přesném pořadí oskenovat několik portů a pak se pro danou IP na nějaký čas otevře ten správný ;).
-
[quote author=WIFT link=topic=29099.msg405493#msg405493 date=1716802532
Já to mám opačně. Nejdřív je potřeba v přesném pořadí oskenovat několik portů a pak se pro danou IP na nějaký čas otevře ten správný ;).
[/quote]
Děkuji za tip, to také nezní špatně:-) děkuji i za minulé rady s vynucením zadání hesla... zdánlivě drobnost, ale proč ne:-)
Zároveň děkuji VŠEM za jejich tipy a rady.
Ještě by se mohl někdo fundovaný rozepsat o tom, v čem je RDP vlastně nebezpečný. Co jsem četl, tak v minulosti tam prý byla díra, která obcházela přihlášení, ale to už by mělo být vyřešeno. Nebezpečnost je v možnosti zachytávání paketů, nebo v přihlášení, nebo v čem vlastně?
-
Hm, no, vzhledem k tomu že "nahaté" RDPčko se do sítě inzeruje (a tedy i skrz ten NAT ven), to není dobrý nápad. V článku na odkazu píšou, že při pokusu bruteforce útoky začaly po necelé minutě. A vzhledem k té inzerci portu není potřeba ani porty skenovat.
https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-exposed-rdp-is-dangerous/
Obecně, pokud nutně nepotřebuješ nejrychlejší možnou odezvu, tak jednoznačně VPNku, eventuálně zabezpečenou RDP gateway.
-
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).
Tyhle politiky se vztahují pouze na klienta pro ˇPřipojení ke vzdálené ploše" (mstsc.exe) na stroji kde jsou nastaveny, tedy toto nemůžeš vynutit vzdáleně u klienta.
Naopak, tohle se nastavuje na straně serveru, aby klientovi vnutil nutnost pokaždé heslo naťukat, takže uložené nebo na příkazové řádce napsané přihlašovací údaje nebudou fungovat, vždycky se to znovu dotáže na heslo, které se musí napsat.
A znovu říkám: nevím přesně, zda to funguje univerzálně pro všechny klienty, nebo může existovat klient (imho může), který to dokáže i tak zautomatizovat (nepočítám takové ty "autotype" fíčury, jako má třeba KeePass apod.). Mám to tak nastavené taky na jedné veřejně vystavené vzdálené ploše (ostatně odtud je ten screenshot) a funguje to tak, jak říkám.
Google mě na dotaz přímo k MS nezavedl, tak alternativní link zde (https://www.tenforums.com/tutorials/92824-enable-always-prompt-password-upon-remote-desktop-connection.html).
Jak vnutíte skupinovou politiku stanici která není v doméně, nebo jak donutíte stanici aby aplikovala patch do registrů?
Nebavím se o stanicích, které mám nějak pod kontrolou.
Tedy ze systému, ke kterému se snažíte připojit pomocí RDP nedokážete vynutit interaktivní přihlášení požadující pokaždé zadání uživatelského jména a hesla...
-
Hm, no, vzhledem k tomu že "nahaté" RDPčko se do sítě inzeruje (a tedy i skrz ten NAT ven), to není dobrý nápad. V článku na odkazu píšou, že při pokusu bruteforce útoky začaly po necelé minutě. A vzhledem k té inzerci portu není potřeba ani porty skenovat.
https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-exposed-rdp-is-dangerous/
Obecně, pokud nutně nepotřebuješ nejrychlejší možnou odezvu, tak jednoznačně VPNku, eventuálně zabezpečenou RDP gateway.
Co je to "inzerce portu"? Jak a kde IP adresa dává najevo (inzeruje), které porty jsou na ní otevřené, bez toho aby bylo nutné je postupně proskenovat? I v tom článku se píše o skenovacích nástrojích. Opravdu se nabavím o případu, kdy útočník zkouší jeden port za druhým a až odhalí ten RDP. U mě, i kdyby na něj postupně došel, tak ho to stejně dropne a nedozví se o něm.
Jedině by muselo být v síti ISP nějaké zařízení, které by odchytávalo provoz a zjišťovalo na kterých portech prochází navázání komunikace zvenku. A vzhledem k tomu, že IP adresy na otevřených portech loguji a vidím tam dlouhodobě jen své známe adresy, ze kterých se připojuji já, tak si troufám tvrdit že s tou "inzercí" otevřených portů v nějaké vrstvě IP adresy to nebude tak horké. To bych v blacklistech neměl tisíce IP adres, ale útočníci by šli rovnou najisto. IP adresy by naopak byly v logu navázaných spojeních a tam nejsou...
Tím samozřejmě nechci říct, že žádné zabezpečení je dobré...NENÍ... Spíše než VPN bych ale chtěl jít asi tou cestou SSH.
Případně Vás ještě poprosím o radu, jak podle Vás správně nastavit tu bránu RDP?
-
Jak vnutíte skupinovou politiku stanici která není v doméně, nebo jak donutíte stanici aby aplikovala patch do registrů?
Nebavím se o stanicích, které mám nějak pod kontrolou.
Tedy ze systému, ke kterému se snažíte připojit pomocí RDP nedokážete vynutit interaktivní přihlášení požadující pokaždé zadání uživatelského jména a hesla...
GPedit.msc
Dále viz obrázek.
A funguje to tak, že hash hesla předaný při otvírání spojení se ignoruje (funguje to jak při zadání do vlastností spojení při spuštění mstsc.exe, tak při rozklepnutí uloženého spojení, i např z 2X RDP při otevření uloženého spojení s uloženým heslem), vyskočí přihlašovací dialog, a bez dalšího zadání hesla přihlášení neproběhne. Možná to jde obejít pomocí auto-fill-in v nějakém správci hesel.
Vyzkoušej, uvidíš.
-
Hm, no, vzhledem k tomu že "nahaté" RDPčko se do sítě inzeruje (a tedy i skrz ten NAT ven), to není dobrý nápad. V článku na odkazu píšou, že při pokusu bruteforce útoky začaly po necelé minutě. A vzhledem k té inzerci portu není potřeba ani porty skenovat.
https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-exposed-rdp-is-dangerous/
Obecně, pokud nutně nepotřebuješ nejrychlejší možnou odezvu, tak jednoznačně VPNku, eventuálně zabezpečenou RDP gateway.
Co je to "inzerce portu"? Jak a kde IP adresa dává najevo (inzeruje), které porty jsou na ní otevřené, bez toho aby bylo nutné je postupně proskenovat? I v tom článku se píše o skenovacích nástrojích. Opravdu se nabavím o případu, kdy útočník zkouší jeden port za druhým a až odhalí ten RDP. U mě, i kdyby na něj postupně došel, tak ho to stejně dropne a nedozví se o něm.
Jedině by muselo být v síti ISP nějaké zařízení, které by odchytávalo provoz a zjišťovalo na kterých portech prochází navázání komunikace zvenku. A vzhledem k tomu, že IP adresy na otevřených portech loguji a vidím tam dlouhodobě jen své známe adresy, ze kterých se připojuji já, tak si troufám tvrdit že s tou "inzercí" otevřených portů v nějaké vrstvě IP adresy to nebude tak horké. To bych v blacklistech neměl tisíce IP adres, ale útočníci by šli rovnou najisto. IP adresy by naopak byly v logu navázaných spojeních a tam nejsou...
Tím samozřejmě nechci říct, že žádné zabezpečení je dobré...NENÍ... Spíše než VPN bych ale chtěl jít asi tou cestou SSH.
Případně Vás ještě poprosím o radu, jak podle Vás správně nastavit tu bránu RDP?
Z popisu spojovací sekvence RDP to chápu tak, že stačí na port poslat paket žádosti o spojení RDPčkem, a pokud tam RDP poslouchá, vždy odpoví příslušným paketem s informacemi o sobě. Otázka je, jestli na to na nesprávném portu firewall zareaguje; tzn jestli za sken považuje i jinak korektní pokus o otevření spojení s portem, který není otevřený. Pokud blacklistováním reaguje na všechno, co není korektním a úspěšným pokusem o spojení na konkrétní správný port se správnou službou, mohlo by to fungovat, ale pak záleží na tom, jestli to útočník bude zkoušet znovu / po jaké době, a jestli to vzdá nebo ne. Pokud je tam automatické odblokování, tak to v konečném (i když dlouhém čase) objevit dokáže.
-
Z popisu spojovací sekvence RDP to chápu tak, že stačí na port poslat paket žádosti o spojení RDPčkem, a pokud tam RDP poslouchá, vždy odpoví příslušným paketem s informacemi o sobě. Otázka je, jestli na to na nesprávném portu firewall zareaguje; tzn jestli za sken považuje i jinak korektní pokus o otevření spojení s portem, který není otevřený. Pokud blacklistováním reaguje na všechno, co není korektním a úspěšným pokusem o spojení na konkrétní správný port se správnou službou, mohlo by to fungovat, ale pak záleží na tom, jestli to útočník bude zkoušet znovu / po jaké době, a jestli to vzdá nebo ne. Pokud je tam automatické odblokování, tak to v konečném (i když dlouhém čase) objevit dokáže.
Mělo by to fungovat na všechny input pakety. Samozřejmě, všechno se dá hacknout a pokud by někdo postupoval port po portu vždy po třeba třech dnech nebo paralelně na více strojích, tak na to jednou přijde. Proto řeším i to případné další zabezpečení. RDP mám provizorně povolenou jen ze známé WAN adresy, ale chci to vyřešit jinak. Na druhou stranu, nejsem banka ani atomová elektrárna. Nic víc horšího kromě případného reinstalu OS mě potkat nemůže.. Další věc, že RDP není jediná viditelná služba. Jsou tam další věci, ona vlastně ani ta vlastní komunikace přijímačů v případném režimu klient server přes UDP nebude nijak moc zabezpečená. Ale jo, nějak začnu a dnes dálkově zprovozním to SSH, to stejně musím... chci už rozvolnit to omezení RDP jen na známou IP adresu.
Každopádně díky
-
Můžu doporučit ještě jednu možnost - stunnel (s direktivou "verify 3") a s klientským certifikátem. Je možné ho mít jako portable. A pak stačí bat, který napřed otevře stunnel a pak spustí rdp s konfigem.
Případně je i cesta Apache Guacamole.
-
Děkuji... Já bych ještě k výše uvedenému doplnil, že to, na čem tam služba vzdálené plochy poslouchá je běžný TCP. Přes vlastní protokoly to běží až potom, po vytvoření spojení. Ale na routeru a ve firewallu musí být povolen TCP. Rozdíl mezi posloucháním na portu oproti SSH a VPN tedy asi žádný nebude. Rozdíl bude až při samotném přenosu.
-
Děkuji... Já bych ještě k výše uvedenému doplnil, že to, na čem tam služba vzdálené plochy poslouchá je běžný TCP. Přes vlastní protokoly to běží až potom, po vytvoření spojení. Ale na routeru a ve firewallu musí být povolen TCP. Rozdíl mezi posloucháním na portu oproti SSH a VPN tedy asi žádný nebude. Rozdíl bude až při samotném přenosu.
Mas v tom slusny zmatek. RDP vzdy bezi pres TCP a nekdy i pres UDP. Teprve uvnitr TCP a/nebo UDP je nejaky ten RDP protokol. TCP port ani UDP port pri pouziti VPN nemusis vystavovat ven. Kazda slusna VPN se bezne a bez problemu provozuje s kryptoklicema, takze pouziti autorizace heslem je opravdu brutalni nonsens z druhohor. Tam, kde ti bezi ten podivny port-knocking by sla zcela jiste zprovoznit i VPNka, takze zadne mikro ani makro tiky nepotrebujes. Atd.
Ale proti gustu zadny disputat.
-
Mas v tom slusny zmatek. RDP vzdy bezi pres TCP a nekdy i pres UDP. Teprve uvnitr TCP a/nebo UDP je nejaky ten RDP protokol. TCP port ani UDP port pri pouziti VPN nemusis vystavovat ven. Kazda slusna VPN se bezne a bez problemu provozuje s kryptoklicema, takze pouziti autorizace heslem je opravdu brutalni nonsens z druhohor. Tam, kde ti bezi ten podivny port-knocking by sla zcela jiste zprovoznit i VPNka, takze zadne mikro ani makro tiky nepotrebujes. Atd.
Ale proti gustu zadny disputat.
Jestli Vy nemáte spíše zmatek v tom, pochopit, co jsem psal...
1. nemám nikde žádný podivný port-knocking... maximálně port-dropping, když už:-D A popravdě je mi i úplně jedno, když o tom píšete, že je to podivné nebo směšné řešení. Od té doby, co to používám, tak přestalo veškeré skenování, pingování a osahávání portů, o pokusech o připojení se ani nebavím. Navíc, již zakázené IP adresy router odřízne hned a už ani nezatěžují opětovným procházením pravidel firewallu.
2. Firewall mám právě na jednom z těch mikrotiků, takže nechápu poznámku o nepotřebě mikro - makro???
3. Nepotřebuji se připojovat pouze k PC a vzdálené ploše, ta vzdálená plocha je v celém tom projektu celkem podružná oproti připojování se k jiným službám a JINÝM ZAŘÍZENÍM a to i při vypnutém PC. Tedy VPN by musela běžet opět někde na úrovni routeru. Opět tedy nechápu poznámku o mikro-makro-ticích??... Spíš z Vašeho textu cítím, že místo rady máte potřebu zesměšňovat a útočit....
4. To, že RDP někde i bez "osahání portu" otevřeně "inzeruje", to že je na dané IP někde na portu otevřená tu psali jiní, já jsem pouze podotkl, že ta služba poslouchá na normálním TCP portu, stejně jako poslouchají jiné služby. A toto je pravda. Nijak se to ani nevylučuje s tím, co píšete dál.
5. Když jste spokojen s VPN, používejte ji. Mně prostě nevyhovuje. Pro vzdálenou plochu už mám zprovozněný tunel přes SSH a jsem spokojen, otázka je, jak přes to půjdou přenášet další služby, ale na vzdálenou plochu to funguje dost dobře. Ještě si s tím chce pohrát, ale vypadá to jako dobrá cesta. Ještě vyzkouším i ten stunnel.
6. Osobně by mě nikdy ani nenapdalo snažit se zesměšňovat a dehonestovat lidi, kteří se na něco zeptají zase mě... ale jak říkáte, "proti gustu...."... mně to nevadí...když vám to udělá radost... Na závěr jedna rada, ani se nezkoušejte např. dívat na celosvětovou síť radioamaterských přijímačů KIWI. Osobně KIWI nepoužívám, protože to beru jako hodně levné a po rádiové stránce ani nic moc řešení, ale z toho, jak je to zabezpečené, či spíše na netu přístupné všem, byste se možná opět rozkoktal o druhohorách a dostal infarkt...
Opravdu moc děkuji všem, kteří se mi snažili slušně a korektně poradit, pomoci... vážím si vaší ochoty i času.
-
Jeste jednou a naposled cituji bez komentare:
Ale na routeru a ve firewallu musí být povolen TCP. Rozdíl mezi posloucháním na portu oproti SSH a VPN tedy asi žádný nebude.
Spanembohem netykavko :)
-
Pre zjednodusenie: pokusate sa amatersky implementovat nestandardne "bezpecnostne riesenie".
Vase riesenie ma dva zakladne nedostatky:
- spoliehate sa na to, ze pred utocnikom zatajite nieco, co by tajne byt nemalo
- je to nestandarne, takze vyrabate taky maly lokalny vendor-lock-in zo vsetkym co k tomu prislucha
V dnesnej dobe botnetov by som osobne take nieco ani nahodou neskusal prehlasit za zabezpecene.
Ale mozno budete mat stastie.
Na vasom mieste by som sa hlavne zamyslel, ci mi stoji za to situacia, ze budem musiet taketo biedne zabezpecenie obhajovat po pripadnom prieniku.
-
- spoliehate sa na to, ze pred utocnikom zatajite nieco, co by tajne byt nemalo
Co zatajuji, co by tajné být nemělo? Omlouvám se, ale asi Vám nerozumím, co máte na mysli??
Chcete říct, že je lepší nepoužívat žádný blacklist a rovnou bez té "směšné ochrany", nebo jak tady tomu všichni nadávají je lepší třeba SSH vystavit rovnou? A to je jako lepší? Bezpečnější?
Vždyť si to zkuste sám někdy sledovat, jeden pokus o připojení na jeden port je cca za 1s. Opravdu HODNĚ ZJEDNODUŠENĚ, pokud bych žádný blacklist neměl, tak při tomto tempu je skenovací robot schopný odhalit otevřené porty během chvilky. Pokud bude IP adresa tvrdnout na blacklistu třeba jeden den a každý následující den bude zkoušet hodnotu zvětšenou o jedna, tak mu z jedné IP proskenování mojí IP bude trvat 65 tisíc dní... samozřejmě, je to teoreticky, zjednodušeně atd... ale ten rozdíl mezi několika sekundami a teoretickými 178 lety je snad patrný.
Opravdu neříkám, že je to všespásné řešení, toto vlákno ani nemá za cíl tento "firewall" obhajovat, popisovat, propagovat... vlákno se týkalo zabezpečení RDP a to jsem pomocí SSH vyřešil. Tak nechápu, že tady do toho hodně lidí tak šije. Celý ten "směšný a podivný firewall" je jenom něco navíc a další stupeň zabezpečení, který nic nestojí a v ničem mě neomezuje.
Na vasom mieste by som sa hlavne zamyslel, ci mi stoji za to situacia, ze budem musiet taketo biedne zabezpecenie obhajovat po pripadnom prieniku.
Tak SSH snad bídne není, ne? Anebo podle Vás je? OK, tak si to ten "směšný firewall" odmyslete a poraďte, jak více SSH zabezpečit, aby to bídné nebylo....
Jinak ano, sám před sebou si to už nějak obhájím....
-
RDP sis SSH tunelem zabezpečil a jestli nemáš pocit, že je potřeba řešit to ostatní tak neřeš.
-
- spoliehate sa na to, ze pred utocnikom zatajite nieco, co by tajne byt nemalo
Co zatajuji, co by tajné být nemělo? Omlouvám se, ale asi Vám nerozumím, co máte na mysli??
Chcete říct, že je lepší nepoužívat žádný blacklist a rovnou bez té "směšné ochrany", nebo jak tady tomu všichni nadávají je lepší třeba SSH vystavit rovnou? A to je jako lepší? Bezpečnější?
Vždyť si to zkuste sám někdy sledovat, jeden pokus o připojení na jeden port je cca za 1s. Opravdu HODNĚ ZJEDNODUŠENĚ, pokud bych žádný blacklist neměl, tak při tomto tempu je skenovací robot schopný odhalit otevřené porty během chvilky. Pokud bude IP adresa tvrdnout na blacklistu třeba jeden den a každý následující den bude zkoušet hodnotu zvětšenou o jedna, tak mu z jedné IP proskenování mojí IP bude trvat 65 tisíc dní... samozřejmě, je to teoreticky, zjednodušeně atd... ale ten rozdíl mezi několika sekundami a teoretickými 178 lety je snad patrný.
Opravdu neříkám, že je to všespásné řešení, toto vlákno ani nemá za cíl tento "firewall" obhajovat, popisovat, propagovat... vlákno se týkalo zabezpečení RDP a to jsem pomocí SSH vyřešil. Tak nechápu, že tady do toho hodně lidí tak šije. Celý ten "směšný a podivný firewall" je jenom něco navíc a další stupeň zabezpečení, který nic nestojí a v ničem mě neomezuje.
Na vasom mieste by som sa hlavne zamyslel, ci mi stoji za to situacia, ze budem musiet taketo biedne zabezpecenie obhajovat po pripadnom prieniku.
Tak SSH snad bídne není, ne? Anebo podle Vás je? OK, tak si to ten "směšný firewall" odmyslete a poraďte, jak více SSH zabezpečit, aby to bídné nebylo....
Jinak ano, sám před sebou si to už nějak obhájím....
jelikoz vis o bezpecnosti kulovy, tak ti to napisu zjednodusene:
Security by obscurity nikdy nefungovalo. Stroj ti oskenuji pres proxy z botnetu a tve RDP na portu 12345 odhalim v prubehu relativni chvilky. Pak si pockam na nejakou zranitelnost pro rdp a jelikoz nepatchujes kazdou minutu tak tu zranitelnost vyuziji par minut po tom co bude k ni exploit ktery si poridim na nejakem darknet marketu. Tva naivita spojena s tvou neznalosti te dovede akorat k pruseru kdy budes obnovovat zasifrovany stroj a data. Predpokladam, ze zalohy nedelas protoze nikdo se ti do toho systemu nikdy nemuze nabourat...
-
..
Ano, narozdíl od některých namistrovaných hulvátů o bezpečnosti RDP nic nevím, proto jsem se slušně zeptal a hned v prvním příspěvku poprosil o konstruktivní diskuzi, jak RDP zabezpečit. Všem, kteří mi slušně napsali své tipy a řešení jsem opakovaně poděkoval. Člověk, aby se tady pomalu bál na něco zeptat. Znovu opakuji, ano ten blacklist není všespásný, to jsem ostatně věděl hned na začátku, jinak bych to asi neřešil. Trvám si ale na tom, že díky tomu v podstatě zmizelo skenování portů a pokusy o připojení, je to něco navíc při jiném zabezpečení, co nic nestojí, nikomu to ani nenutím...
Ano, pokud máte bootnet s 65 tis. adresami najednou, udělejte to... zničíte nejen mě, ale možná tím vyřadíte i lokálního ISP.... Až se to celé vzpamatuje, připojte se mi do PC přes RDP (které teď díky několika ochotným a slušným už ani není viditelné)... tam najdete čistou instalaci win, pár radioamatérských programů a možná pár nahrávek. Tak mi to ukradněte, zničte... když jste takový borec pane Braníku.... no...
A nebojte, minimálně třeba ty nahrávky vzácných stanic opravdu zálohuji...
-
Pardon ...botnet.... Aby mě někdo zase nenapadnul...
-
Nějak mám z úvodního dotazu pocit, že ve skutečnosti vůbec nešlo o získání rady, ale jenom o potvrzení svého vlastního řešení. Což tedy bohužel nevyšlo, a proto je tady debata na 3 strany o lejně, když naprosto všichni - vyjma autora dotazu - jednoznačně preferují VPN :P
-
Nějak mám z úvodního dotazu pocit, že ve skutečnosti vůbec nešlo o získání rady, ale jenom o potvrzení svého vlastního řešení. Což tedy bohužel nevyšlo, a proto je tady debata na 3 strany o lejně, když naprosto všichni - vyjma autora dotazu - jednoznačně preferují VPN :P
To už je snad zlý sen... já jsem hned na začátku poděkoval za radu s SSH, přečetl si o tom více na netu, sám bez doplňujících rad to celé rozchodil a tím jsem to považoval za vyřízené. Kdyby rejpalové jako Vy a sprostí hulváti jako někdo jiný, neměli pořád potřebu řešit ten blacklist a šít do toho, tak by tady tři listy o lejně nebyly. Zajímavé, že když jsem to rozcházel tak před lety v jiné diskuzi tady na rootu psali vám podobní, jaké je to super řešení....
Tak když chcete jenom urážet, tak prosím neodpovídejte a nechte vyjádřit se jiné. Rada s SSH je náhodou výborná, o tom jak nastavit tu bránu RDP nenapsal kromě nápadu s tím vynucením hesla, nikdo. Nikdo se ani nenabídl, že mi to třeba za úplatu z hlediska bezpečnosti projde, doladí a vyzkouší. Ano, už jsem do toho projektu investoval tolik, že už by mi to žíly nevytrhalo a ušetřil bych si aspoň čas se čtením útočných příspěvků jako je ten váš.
Nebojte, už se tady na nic raději ptát nebudu.... v životě by mě, když se mě někdy někdo na něco zeptal třeba z VF techniky, slaboproudu, hardware... nenapadlo ho takhle dehonestovat a urážet...
-
Tak pardon, jestli jsem se nějak dotknul, ale ignorovat rady od všech ohledně VPN prostě vzbuzuje jisté pochybnosti...
-
Nebojte, už se tady na nic raději ptát nebudu.... v životě by mě, když se mě někdy někdo na něco zeptal třeba z VF techniky, slaboproudu, hardware... nenapadlo ho takhle dehonestovat a urážet...
K tomuhle uz nemuzu mlcet. Dotycny dostal zdarma celou radu excelentnich rad (pritom pise technicky vzato nesmysly), ale stavi se do pozice, ze mu ostatni ublizuji a jsou ti spatni? To je teda nevdecnik non-plus-ultra. Jestli te urazi pouha konstatace faktu, mel by ses lecit.
-
Ja sa vám tu do tejto vášnivej debaty nechcem moc montovať, a ani neviem, či to tu už niekto nepísal, ale keby som niečo takéto potreboval mať bez VPN, a keby som potreboval predstierať, že nie som, tak najskôr to skúsim postaviť na otvorení portu po zaklopaní na správne porty, ktoré by boli vygenerované na základe TOTP.
Na otvorený port by bolo povolené pripojenie iba z IP adresy, ktorá úspešne klopala na porty a počet možných pripojení by bol obmedzený na jedno.
Všetky ďalšie pokusy o pripojenie by sa zahadzovali bez odpovede. To by na moje vlastné pripojenie stačilo.
Keby som to chcel mať pokročilejšie, tak aj ten port, ktorý sa otvorí by bol generovaný na základe TOTP a bol by lokálne presmerovaný na port, na ktorom počúva služba, na ktorú sa chcem pripojiť.
A to by navyše mohlo fungovať aj keby som chcel viac pripojení a to aj zo siete, ktorá z pohľadu hostiteľa vystupuje ako jedna IP adresa, s tým, že každé úspešné klopanie by otvorilo pre daného klopajúceho vyhradený port iba pre jediné jeho pripojenie.
Plus samozrejme nejaké časové obmedzenie pre otvorenie portu, atď.
Ale ja sa sieťami ani bezpečnosťou nezaoberám, tak ma neberte moc vážne. Je ale celkom možné, že si toto niekedy vyskúšam, či by to fungovalo. Ten vlastný softvér, ktorý by to obslúžil na strane hostiteľa aj klienta je na pár riadkov.
-
K tomuhle uz nemuzu mlcet. Dotycny dostal zdarma celou radu excelentnich rad (pritom pise technicky vzato nesmysly), ale stavi se do pozice, ze mu ostatni ublizuji a jsou ti spatni? To je teda nevdecnik non-plus-ultra. Jestli te urazi pouha konstatace faktu, mel by ses lecit.
Těm slušným jsem několikrát poděkoval. Napsal jsem a znovu opakuji, že si VÁŽÍM jejich rad a času.
Navíc asi 3x jsem zopakoval, že ten blacklist beru jako něco navíc... uznávám, že s tím TCP jsem to nenapsal moc obratně, ale to byla jediná nepřesnost. Jinak jsem žádné nesmysly nepsal.
To jako podle vás nemám právo se vůbec bránit? A jen číst slova jako "lejno, víš kulový, máš v tom slušný zmatek, je to směšné řešení"?...
Vždycky se dá něco napsat buď slušně anebo také jde do toho druhého rejpnout, urazit ho, říct mu to patřičně povýšeně. A jsou dvě skupiny lidí, vy jste se sám zařadil... Ne, opravdu to nejsem já, kdo by se měl léčit, ale někteří nenávistní a zakomplexovaní jedinci... je to opravdu smutné, pročítat si nejen toto, ale i jiná vlákna... podívat se na to jak společnost zhrubla, sprostá slova a urážky se berou jako standard, jako samozřejmost... ale to je jedno, Vy už jste se rozloučil a já se rozloučím vzápětí.... ono fakt nemá cenu se na nic už ptát...
-
Těm slušným jsem několikrát poděkoval. Napsal jsem a znovu opakuji, že si VÁŽÍM jejich rad a času.
Navíc asi 3x jsem zopakoval, že ten blacklist beru jako něco navíc... uznávám, že s tím TCP jsem to nenapsal moc obratně, ale to byla jediná nepřesnost. Jinak jsem žádné nesmysly nepsal.
To jako podle vás nemám právo se vůbec bránit? A jen číst slova jako "lejno, víš kulový, máš v tom slušný zmatek, je to směšné řešení"?...
Vždycky se dá něco napsat buď slušně anebo také jde do toho druhého rejpnout, urazit ho, říct mu to patřičně povýšeně. A jsou dvě skupiny lidí, vy jste se sám zařadil... Ne, opravdu to nejsem já, kdo by se měl léčit, ale někteří nenávistní a zakomplexovaní jedinci... je to opravdu smutné, pročítat si nejen toto, ale i jiná vlákna... podívat se na to jak společnost zhrubla, sprostá slova a urážky se berou jako standard, jako samozřejmost... ale to je jedno, Vy už jste se rozloučil a já se rozloučím vzápětí.... ono fakt nemá cenu se na nic už ptát...
Slovo "lejno" tady padlo jen v souvislosti s obsahem vlakna. Jak je mozny, ze si to vztahujes na sebe, kdyz je tady spousta autoru?
"vis kulovy" a "mas v tom slusny zmatek" neni nic sprosteho a fakticky to vystihuje podstatu veci. Kdybych se na foru zahradkaru zeptal, kam se vkladaji do lopaty baterky a odpovedeli by mi temito slovy, mozna by me to zarazilo, ale urcite ne urazilo.
Slovo "smesne/y" jsi v celem vlaknu pouzil jen ty.
Takze se ted ptam ja tebe: co sakra cela ta ublizenecka litanie o nenavistnych a zakomplexovanych jedincich ma znamenat?
-
.
Vy nepřestanete? Už jste se se mnou rozloučil, napsal jste, že jsem nevděčník, tak co se k tomu pořád vracíte? Podívejte se do zrcadla, vytáhněte si kšandy a připravte si s povýšeností a sebevědomým vám vlastním munici na další lamy, které vědí kulový a přijdou tady do fóra hledat rady a řešení svých problémů... určitě si zase zastřílíte a znovu se trefíte do černého... ;D
-
Vy nepřestanete? Už jste se se mnou rozloučil, napsal jste, že jsem nevděčník, tak co se k tomu pořád vracíte? Podívejte se do zrcadla, vytáhněte si kšandy a připravte si s povýšeností a sebevědomým vám vlastním munici na další lamy, které vědí kulový a přijdou tady do fóra hledat rady a řešení svých problémů... určitě si zase zastřílíte a znovu se trefíte do černého... ;D
Nemuzu videt trpici bytost v zajeti bludu a nesnazit se ji pomoct (aby si uvedomila nespravnost cesty, kterou jde a stala se sebevedomym clovekem, kteremu nevadi, kdyz ho nekdo posle... :)
-
Nemuzu videt trpici bytost v zajeti bludu a nesnazit se ji pomoct (aby si uvedomila nespravnost cesty, kterou jde a stala se sebevedomym clovekem, kteremu nevadi, kdyz ho nekdo posle... :)
Jo, tak to nemějte péči...zrovna vy jste mi s ničím nepomohl. Maximálně tak se zvýšením tepu... S SSH pomohli jiní + s realizací jsem si k tomu dopomohl sám... a kdybych to věděl, jak to tady dopadne, tak bych se na to ani neptal.. anebo se zeptal někde na zahraničním fóru.... a s tím ostatním nastavením jsem naprosto spokojen.
-
Jo, tak to nemějte péči...zrovna vy jste mi s ničím nepomohl. Maximálně tak se zvýšením tepu... S SSH pomohli jiní + s realizací jsem si k tomu dopomohl sám... a kdybych to věděl, jak to tady dopadne, tak bych se na to ani neptal.. anebo se zeptal někde na zahraničním fóru.... a s tím ostatním nastavením jsem naprosto spokojen.
Ze se tady snazis dehonestovat a pozurazet lidi, kteri se ti snazli pomoct, to je jasny vsem krome tebe, to ani nemusis psat.