Příspěvky

526

Sítě / Re:Bezpečnostní úskalí RDP

« kdy: 23. 03. 2020, 21:24:24 »

RDP gateway, proč ne, ale proč bez VPN? Jaké riziko rozšíření viru a souborů po síti a riziko špatné konfigurace přináší VPN přístup na firemní poštovní , kolaborativní a ekonomické servery ?

Fatalni. Chyba v konfiguraci nebo zabezpeceni muze mit lavinovy efekt. Jedna neopatchovana zranitelnost muze zpusobit prunik k centralnim prvkum, eskalaci opravneni a - pruser. Prikladem za vsechny budiz cca dva roky stare chyby v SMB protokolu, kdy i skrz nepouzivanou sluzbu slo ovladnout celou sit. A ruku na srdce, kdo z nas ma opatchovano opravdu 100%?

Proto je nejlepsi vystavit na odiv co nejmin moznych dopadovych ploch a potencionalne nakazene stroje drzet od site co nejdal. A RDG vystavovat az za VPN - teoreticky ok, prakticky neohrabane + pribude starost s izolaci VPN klientu + starost o tu VPN + konfiguraci VPN na klientech - je to trochu uchylne.

Patche samozrejme a na zranitelnosti IPS na firewallu ? Jo a nedělat chyby v konfiguraci...
RDP je jenom jedna ze služeb a IMHO je atraktivnější pro hackery než jiné a má víc zranitelností. YMMW

527

Sítě / Re:Bezpečnostní úskalí RDP

« kdy: 23. 03. 2020, 21:20:06 »

Za současného stavu výrazně přibývá požadavků na home office a s humornou nadsázkou tu jsou požadavky, aby ho měla skoro i uklízečka.

Kde to bylo technicky možné a šlo o zodpovědné lidi, tak si vzali počítače domů a jsou připojeni VPN. Kde to nebylo technicky možné, tak mají zapnuté počítače v kancelářích a domu si odnesli staré firemní notebooky, které mám stále plně pod kontrolou a z těch se připojují na své počítače přes RDP skrze vytočenou VPN.

Bohužel staré firemní notebooky došly a požadavky jsou tu další. Úvaha je použít soukromé stanice zaměstnanců. VPN, v ní povolen přístup pouze na konkrétní stanici ve firmě a to ještě jen na RDP, všechny ostatní služby opět zakázané.

Jak moc velké je to riziko? Musel by se teoretický útočník opravdu připojit skrze soukromou stanici zaměstnance na koncovou stanici terminálově a něco tam udělat ručně, případně si pomocí něčím typu makro kamera ve starých Windows, nebo tam je ještě nějaké další bezpečnostní úskalí? Kdybych dané stanice ještě odpojil od internetu, tak bych jim asi teoreticky odřízl i možnost vytvoření dalšího méně okatého kanálu, kdyby k téhle za mě spíš nepravděpodobné situaci došlo.

Můžu poprosit o názor, případně postup, jak to řešíte vy?

Apropos, jsou ty staré firemní  notebooky s podporovaným a aktualizovaným OS a SW a antivirem?
Za druhé, co takhle rozdělit ty soukromé PC na ty výše uvedené a na ty “mazej do kanclu” ?
Třeba zkontrolovat je přes teamviewer ?

528

Sítě / Re:Bezpečnostní úskalí RDP

« kdy: 23. 03. 2020, 21:13:03 »

VPN do sítě přináší riziko rozšíření nějaké hrozby (viru) po souborech v síti.

Vy máte dost.
Normální administrátor umí omezit VPN přístup jen na prostředky, které uživatel potřebuje k práci (tj. třeba jen ten RDP server/port 3389).
Obecně vystavovat jakoukoliv Microsoft službu do internetu (snad kromě ASP.NET) považuji za bezpečnostní riziko a snažím se tomu vyhnout. A to nemluvím o spravovatelnosti VPN vs Windows server.

Tady máte čerstvou várku:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=RD+Gateway

+1

529

Sítě / Re:Bezpečnostní úskalí RDP

« kdy: 23. 03. 2020, 21:10:07 »

Jde o to, co chcete chránit a před čím.

VPN do sítě přináší riziko rozšíření nějaké hrozby (viru) po souborech v síti.

Pokud jde o vzdálenou plochu, je bezpečnější variantou RDP přes RDP gateway (součást windows serveru) a bez VPN. Na RDP pak můžete zakázat připojení lokálních disků z PC uživatele.

Obecně bych víc preferoval RDP bez VPN, ale přes gateway. VPN pouze v případech, kdy uživatel potřebuje do celé sítě, ne jen na RDP. Alternativně můžete vytvořit VPN, do oddělené sítě, na které budou pouze RDP služby, ale ostatní služby sítě budou vypnuté. To je ale komplikovanější řešení, náchylné na chybu konfigurace.

RDP gateway, proč ne, ale proč bez VPN? Jaké riziko rozšíření viru a souborů po síti a riziko špatné konfigurace přináší VPN přístup na firemní poštovní , kolaborativní a ekonomické servery ?

530

Sítě / Re:Bezpečnostní úskalí RDP

« kdy: 23. 03. 2020, 21:04:30 »

Za současného stavu výrazně přibývá požadavků na home office a s humornou nadsázkou tu jsou požadavky, aby ho měla skoro i uklízečka.

Kde to bylo technicky možné a šlo o zodpovědné lidi, tak si vzali počítače domů a jsou připojeni VPN. Kde to nebylo technicky možné, tak mají zapnuté počítače v kancelářích a domu si odnesli staré firemní notebooky, které mám stále plně pod kontrolou a z těch se připojují na své počítače přes RDP skrze vytočenou VPN.

Bohužel staré firemní notebooky došly a požadavky jsou tu další. Úvaha je použít soukromé stanice zaměstnanců. VPN, v ní povolen přístup pouze na konkrétní stanici ve firmě a to ještě jen na RDP, všechny ostatní služby opět zakázané.

Jak moc velké je to riziko? Musel by se teoretický útočník opravdu připojit skrze soukromou stanici zaměstnance na koncovou stanici terminálově a něco tam udělat ručně, případně si pomocí něčím typu makro kamera ve starých Windows, nebo tam je ještě nějaké další bezpečnostní úskalí? Kdybych dané stanice ještě odpojil od internetu, tak bych jim asi teoreticky odřízl i možnost vytvoření dalšího méně okatého kanálu, kdyby k téhle za mě spíš nepravděpodobné situaci došlo.

Můžu poprosit o názor, případně postup, jak to řešíte vy?

Vím, že z toho teď všichni šílí, týden intenzívně řeším vzdálené přístupy. Připojení RDP k pracovnímu PC notabene z domácího kompu je hodně špatně  a s  trochou cynismu, větší riziko než nějaká karanténní opatření na pracovišti. Preferuji VPN na potřebné aplikace, ale to chce samozřejmě mít vyřešeno předem, ne až hrom uhodí. A pořádnou analýzu potřeb a taky trochu odvahy říci ne. Držím palce.

531

Sítě / Re:Nefunguje pripojenie na VPN server

« kdy: 19. 02. 2020, 22:21:20 »

Uz to niekedy u totoho existujuceho ISP fungovalo ?
Ak nie, zacnem hladat chybu tu. Ak ano, opytam sa jeho aj ITckarov, co sa zmenilo.
Ak je to maly ISP, skusenosti s nimi su kadejake.
Verejnu IP mas v zasade vzdy, aj ked bude zdielana ...
Este su tu kadejake moznosti, ako laboracia z MTU, atd..ale to uz je vyssi divci, a idealne to mat potvrdene od ISP, ze nema nastavene nic nestandardne ...

Easy : https://www.elifulkerson.com/projects/mturoute.php
Nebo ping https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on-Router
No a pak tu velikost nastavit na sitovem adapteru

532

Sítě / Re:Nefunguje pripojenie na VPN server

« kdy: 19. 02. 2020, 22:16:52 »

Dobrý deň
Mám problém s pripojením na firemný VPN server z mojej domácej IP adresy (pri použití ping príkazu neprichádza žiadna odpoveď). Je to jediný server o ktorom viem ktorý ma tento problém, všetky bežné servery fungujú bez problémov. Zistil som že problém je iba s mojou IP adresou. Keď som sa skúšal pripojiť  cez iných poskytovateľov internetu pripojenie fungovalo bez problémov. Poskytovateľ internetu tvrdí že problém je v tom že mám zdieľanú IP adresu a sever cez ktorý sa pripájam je na niektorom s blacklistov. Ako riešenie by mohlo byť poskytnutie verejnej IP adresy. Chcem sa spýtať či má niekto skúsenosti s podobným problémom a ako ste ho riešili.

Ďakujem za odpovede

Zkusil bych snížit MTU. Google for mturoute.exe nebo ping bez fragmentace
Taky tracert, oboje samozrejme bez vytocene VPN.

533

Sítě / Re:Region smtp serveru

« kdy: 19. 02. 2020, 22:12:49 »

tech hlavicek received tam budes mit vic, a nekde bliz k tobe to "preskoci" z IPv6 na IPv4

Obávám se, že mají jen name resolving pro IPv6.

534

Sítě / Re:Region smtp serveru - solved

« kdy: 19. 02. 2020, 22:11:17 »

Zdravim, nevite jak lokalizovat tyto smtp servery ? Stačí země, ale ipv4 adresu nemuzu najit
Zajima mne ten druhy a taky jak ho lokalizovat dle ipv6.
Pravdepodobne to bude Asie
Dik
Received: from PS1PR0401MB2073.apcprd04.prod.outlook.com (2603:1096:803:5::19)
 by HK2PR0401MB2065.apcprd04.prod.outlook.com (2603:1096:202:6::16)

Řešení: vyšel jsem z SPF pro doménu, resp. tamního include pro outlook. Všechny adresní rozsahy ukazovaly na Singapore, tak jsem ho povolil v geopolicy a funguje. Díky všem, kdo mne nasměrovali.

535

Sítě / Re:Region smtp serveru

« kdy: 18. 02. 2020, 21:04:03 »

tech hlavicek received tam budes mit vic, a nekde bliz k tobe to "preskoci" z IPv6 na IPv4

Problem je ze log mam jen z toho hk...
Ale diky, jeste je tam precejen jeden videt, i kdyz ne recieved
PU1APC01FT035.eop-APC01.prod.protection.outlook.com
Taky nevim ip4 :-(

Jediny co jsem  pro ten srv nasel je private addr 10...

536

Sítě / Re:Region smtp serveru

« kdy: 18. 02. 2020, 20:24:10 »

tech hlavicek received tam budes mit vic, a nekde bliz k tobe to "preskoci" z IPv6 na IPv4

Problem je ze log mam jen z toho hk...
Ale diky, jeste je tam precejen jeden videt, i kdyz ne recieved
PU1APC01FT035.eop-APC01.prod.protection.outlook.com
Taky nevim ip4 :-(

537

Sítě / Re:Region smtp serveru

« kdy: 18. 02. 2020, 20:11:29 »

dle toho hostname apcprd04 bych rekl ze to je Asia-Pacific. tzn. vychodni asie

Jj dik taky myslim , je to posta z hcl.com a mam podezreni ze mi to zarizne geopolicy, ale ip4 nepouzivame a nevim jak to lokalizovat, abych mohl dat vyjimku

538

Sítě / Re:Region smtp serveru

« kdy: 18. 02. 2020, 20:07:50 »

Zdravim, nevite jak lokalizovat tyto smtp servery ? Stačí země, ale ipv4 adresu nemuzu najit
Zajima mne ten druhy a taky jak ho lokalizovat dle ipv6.
Pravdepodobne to bude Asie
Dik
Received: from PS1PR0401MB2073.apcprd04.prod.outlook.com (2603:1096:803:5::19)
 by HK2PR0401MB2065.apcprd04.prod.outlook.com (2603:1096:202:6::16)

Tak uz jsem to našel, Redmond, ale jak to s nami komunikuje bez ip4?

539

Sítě / Region smtp serveru

« kdy: 18. 02. 2020, 19:33:49 »

Zdravim, nevite jak lokalizovat tyto smtp servery ? Stačí země, ale ipv4 adresu nemuzu najit
Zajima mne ten druhy a taky jak ho lokalizovat dle ipv6.
Pravdepodobne to bude Asie
Dik
Received: from PS1PR0401MB2073.apcprd04.prod.outlook.com (2603:1096:803:5::19)
 by HK2PR0401MB2065.apcprd04.prod.outlook.com (2603:1096:202:6::16)

540

Sítě / Re:Rozdělení switche

« kdy: 20. 01. 2020, 22:39:04 »

IMHO, na doma dobrý, pokud neni cas a chut to studovat a platit za managovatelny  switch.
Jediné co ztratíš, je flexibilita.
Mmch “skatulka s malym plosacikom dnuka”,  to je kouzelný :-)

Pofederační synek to přeložil jako “krabička s malým plochým dnem“. :-)