Protokol blokován jen na specifické BTS?

[_Tomáš_]

BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10

já psal neopravitelné zranitelnosti a ne nezáplatované CVE . Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.

Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.

Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.

RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.

[Reklama]

[pruzkumbojem]

diky, to je docela uspokojiva odpoved s vysokou hustotou informace.

ponechavam stranou  ten fakt, ze nefunkcnost RDP koreluje s 5G (minimalne s danem meste, nebudu se namahat experiementovat vic).

ponechavam stranou, ze vzdy tunelovat treba skrz WireGuard (kdyz okamzita nalada firewallu nebo ISP dovoli). (Protoze Unifi a SIM od Tmobilu nemusi )

OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?

[modnar]

OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?

Seriozni je, aby mira zabezpeceni odpovidala hodnote prenasenych dat.

[pruzkumbojem]

Ach, zname "mnozstvi vetsi nez male"

Hodnota tedo odpovedi je doslova nula.

OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?

Seriozni je, aby mira zabezpeceni odpovidala hodnote prenasenych dat.

[modnar]

Asi si to nepochopil.. tvoje minus, respektive nula minus.

[Reklama]

[FKoudelka]

BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10

já psal neopravitelné zranitelnosti a ne nezáplatované CVE . Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.

Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.

Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.

RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.

co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím

[FKoudelka]

BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10

já psal neopravitelné zranitelnosti a ne nezáplatované CVE . Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.

Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.

Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.

RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.

co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím

Navíc pojednává o útoku na “MS RDP gateway”, ne o RDP na win10. Určitě by se našel lepší příklad…
Tím nechci říct, že jsem pro to, publikovat RDP.
 Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows

[Pavel...]

OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?

nikto nemoze vediet vsetko, ale to, ze RDP nepatri na internet je dla mojich znalosti "vseobecne znama dlhorocna vedomost" (nezivi ma to, takze som si zo zaujmom precital vyssie uvedene dovody).
t.j. ked to bolo teraz pre Vas prekvapenie, tak najrozumnejsie asi bude hodit na obede rec s nejakym bezpecakom z korporatneho sveta.

Predpokladam, ze rozumna odpoved je nejaka VPN, ktora dostava aktualizacie a do tej zabalit cokolvek co clovek tuzi pouzit.

Osobne si myslim, ze TV spusteny na limitovanu dobu s dohladom zodpovedneho cloveka, je vramci moznosti bezpecny postup.

[Wasper]

Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows

Přesně. Prostě zabalit do něčeho, co je možné považovat za dospěle bezpečné, ať už (nejlepší) nějaká forma VPN, nebo alespoň tls s verifikací klienta (v linuxu máme stunnel), a neřešit, kde ještě strejda Bill mohl nechat další díru.

[FKoudelka]

OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?

nikto nemoze vediet vsetko, ale to, ze RDP nepatri na internet je dla mojich znalosti "vseobecne znama dlhorocna vedomost" (nezivi ma to, takze som si zo zaujmom precital vyssie uvedene dovody).
t.j. ked to bolo teraz pre Vas prekvapenie, tak najrozumnejsie asi bude hodit na obede rec s nejakym bezpecakom z korporatneho sveta.

Predpokladam, ze rozumna odpoved je nejaka VPN, ktora dostava aktualizacie a do tej zabalit cokolvek co clovek tuzi pouzit.

Osobne si myslim, ze TV spusteny na limitovanu dobu s dohladom zodpovedneho cloveka, je vramci moznosti bezpecny postup.

Souhlasím, taky to líp proleze. Nebo nějaký podobný SW.

[pruzkumbojem]

no jak vidim tvoje "rady" u jineho tematu,
tak jsem to celkem pochopil. jen bych to rozsiril. Pridana hodnota tve existence tady na foru je nula.

Asi si to nepochopil.. tvoje minus, respektive nula minus.

[jakuja]

RDP na verejny port zkratka nepatri (ani kdyz zmenis ten defaultni), pokud uz musis pouzit RDP tak maximalne na LAN a tam se pak ze sveta dostavat nejakou VPNkou.

Dalsich reseni existuje dnes uz docela mnoho TeamViewer, Anydesk,... a ac taky nejsou bez chyb/problemu, tak vsechno lepsi nez RDP na verejnem portu.

[Trident Vasco]

Zrovna včera mi volal zákazník, že se nemůže připojit VPN do firmy skrze hotspot v mobilu. VPN běžně používá po různých WiFiních. Byl jsem v autě, tak jsem mu nebyl schopen nijak pomoct. Za chvíli mi volal znovu, že zkusil v mobilu zakázat 5G a přes LTE mu to funguje. Za mě trošku WTF, ale čert ví, co tam ten operátor má.

V rozsahlych sitich je mozne mit na ruznych sitich rozjetou jinou infrastrukturu co to odbavuje. Tim spise v mezifazich upgradu core a to se muze tahnout treba 5 let.
 Napr. pro 2G,4G,5G. Casto se i clovek dohrabe pres uplne jiny sitovy prvek trochu jinak nastaveny ve dvou lokalitach nebo casech. A neni vyjimkou kdy se clovek trefi do nejakeho meziupgradu.
NAT traversal testy na vsechny variace protokolu u CGNATu/stavoveho fw/ruznych silenych automatickych "prezervativu"  nebyvaji uplne bezna akceptacni kriteria a necekejte ze v tehle kritickych vecech je nejak daleko infrastructure as a code.

Rada: j.... support a tickety na operatora intenzivne a stale. Presne casy,lokace,protokoly,identifikatory spojeni, snap z packet snifferu atd. Nic jineho nepomuze nez intenzivni palba. Cim vetsi zakaznik tim vetsi munice. Az zakos za to vsechno uvidi fakturu uz vas mozna priste nebude obtezovat :-)

[_Tomáš_]

co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím

Navíc pojednává o útoku na “MS RDP gateway”, ne o RDP na win10. Určitě by se našel lepší příklad…
Tím nechci říct, že jsem pro to, publikovat RDP.
 Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows

Máš pravdu, určitě by se našel lepší příklad, měl jsem to v poznámkách k RDP, na sdělení to ale moc nemění.

DoS útok je občas hodně podceňovaný, ale může vyprovokovat uživatele nebo admina k neuváženým a nebezpečným krokům (nejde mi RDP, zkusím hledat jakékoliv řešení; nefunguje mi RDP server? Zkusím to debugovat, vypnu FW atd.). Vytížení služby by mělo korelovat se síťovým provozem a jakákoliv asymetrie je dnes chápána jako špatně.

RDP je příliš starý protokol, umožňuje přihlašování pouze přes jméno a heslo, žádné 2FA, žádný SAML/oauth2, žádné rotování klíčů. Podívejte se jak vlastně funguje inicializace, klient pošle seznam šifrovacích algoritmů, server odpoví, který si vybral (RSA RC4 je pořád ve velké části instalací kvůli kompatibilitě, CredSSP je zase nedílnou součástí firemních instancí). Pak klient zahájí MSC část komunikace, kdy vyzpovídá server o jeho reáliích (hostname, product ID, build ID, resolution, desktop atd. atd.) k tomu mu ještě napráská, které channely jsou volné a které obsazené, klient si nějaký vybere a ten obsadí (= DoS). A až tady jde na řadu sdělení jména a hesla.

Vidíte ten problém? Dříve než se objeví autorizace klienta, tak probíhá poměrně ukecaná komunikace, server na sebe napráská kdeco a pak se teprve klient může rozhodnout, jestli se teda ráčí přihlásit a pošle jméno a heslo.

Je naprosto nedůležité, jaké CVE jsou a jestli jsou nějaké neopravené, ten protokol je sám o sobě nemocný a není radno ho vystavovat veřejně, musí se vždy schovat, to není jen takové bezduché doporučení.