Vzdálená plocha WIN 11 na veřejné adrese

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #15 kdy: 27. 05. 2024, 11:35:32 »
To je celkem úsměvné řešení, protože třeba u mobilních operátorů používá jednu IP adresu půlka města, takže s takovou za chvíli bude zablokován úplně každý. A paradoxně se tam pak člověk třeba nedostane ani sám, když se někde přes mobil bude snažit připojit taky a jako na potvoru už bude IP adresa na blacklistu :D
Tak hlavně, že se bavíte... problém je, že v 99,999 procentech nejsou útoky a skenování portů z běžných sítí v ČR. Schválně si u svého vlastního routeru zkuste někdy logovat pingování a skenování portů, dělají to nejvíce automaty z Ruska, Ukrajiny, USA, Nizozemska, Německa, Indie... takový automat, který by fungoval s mobilními daty v nějakém malém městě v ČR bych fakt chtěl vidět....

Naopak, lepší řešení jsem zatím nenašel, je strašně jednoduché a navíc účinné... zkusítě jeden port a jdete do pr.....

Já to mám opačně. Nejdřív je potřeba v přesném pořadí oskenovat několik portů a pak se pro danou IP na nějaký čas otevře ten správný ;).


stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #16 kdy: 27. 05. 2024, 13:56:20 »
[quote author=WIFT ​​​​​​​​​​ link=topic=29099.msg405493#msg405493 date=1716802532
Já to mám opačně. Nejdřív je potřeba v přesném pořadí oskenovat několik portů a pak se pro danou IP na nějaký čas otevře ten správný ;).
[/quote]
Děkuji za tip, to také nezní špatně:-) děkuji i za minulé rady s vynucením zadání hesla... zdánlivě drobnost, ale proč ne:-)
Zároveň děkuji VŠEM za jejich tipy a rady.
Ještě by se mohl někdo fundovaný rozepsat o tom, v čem je RDP vlastně nebezpečný. Co jsem četl, tak v minulosti tam prý byla díra, která obcházela přihlášení, ale to už by mělo být vyřešeno. Nebezpečnost je v možnosti zachytávání paketů, nebo v přihlášení, nebo v čem vlastně?

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #17 kdy: 27. 05. 2024, 14:34:18 »
Hm, no, vzhledem k tomu že "nahaté" RDPčko se do sítě inzeruje (a tedy i skrz ten NAT ven), to není dobrý nápad. V článku na odkazu píšou, že při pokusu bruteforce útoky začaly po necelé minutě. A vzhledem k té inzerci portu není potřeba ani porty skenovat.
https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-exposed-rdp-is-dangerous/

Obecně, pokud nutně nepotřebuješ nejrychlejší možnou odezvu, tak jednoznačně VPNku, eventuálně zabezpečenou RDP gateway.

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #18 kdy: 27. 05. 2024, 14:53:10 »
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).

Tyhle politiky se vztahují pouze na klienta pro ˇPřipojení ke vzdálené ploše" (mstsc.exe) na stroji kde jsou nastaveny, tedy toto nemůžeš vynutit vzdáleně u klienta.
Naopak, tohle se nastavuje na straně serveru, aby klientovi vnutil nutnost pokaždé heslo naťukat, takže uložené nebo na příkazové řádce napsané přihlašovací údaje nebudou fungovat, vždycky se to znovu dotáže na heslo, které se musí napsat.
A znovu říkám: nevím přesně, zda to funguje univerzálně pro všechny klienty, nebo může existovat klient (imho může), který to dokáže i tak zautomatizovat (nepočítám takové ty "autotype" fíčury, jako má třeba KeePass apod.). Mám to tak nastavené taky na jedné veřejně vystavené vzdálené ploše (ostatně odtud je ten screenshot) a funguje to tak, jak říkám.

Google mě na dotaz přímo k MS nezavedl, tak alternativní link zde.

Jak vnutíte skupinovou politiku stanici která není v doméně, nebo jak donutíte stanici aby aplikovala patch do registrů?
Nebavím se o stanicích, které mám nějak pod kontrolou.

Tedy ze systému, ke kterému se snažíte připojit pomocí RDP nedokážete vynutit interaktivní přihlášení požadující pokaždé zadání uživatelského jména a hesla...


stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #19 kdy: 27. 05. 2024, 15:41:42 »
Hm, no, vzhledem k tomu že "nahaté" RDPčko se do sítě inzeruje (a tedy i skrz ten NAT ven), to není dobrý nápad. V článku na odkazu píšou, že při pokusu bruteforce útoky začaly po necelé minutě. A vzhledem k té inzerci portu není potřeba ani porty skenovat.
https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-exposed-rdp-is-dangerous/

Obecně, pokud nutně nepotřebuješ nejrychlejší možnou odezvu, tak jednoznačně VPNku, eventuálně zabezpečenou RDP gateway.
Co je to "inzerce portu"? Jak a kde IP adresa dává najevo (inzeruje), které porty jsou na ní otevřené, bez toho aby bylo nutné je postupně proskenovat? I v tom článku se píše o skenovacích nástrojích. Opravdu se nabavím o případu, kdy útočník zkouší jeden port za druhým a až odhalí ten RDP. U mě, i kdyby na něj postupně došel, tak ho to stejně dropne a nedozví se o něm.
Jedině by muselo být v síti ISP nějaké zařízení, které by odchytávalo provoz a zjišťovalo na kterých portech prochází navázání komunikace zvenku. A vzhledem k tomu, že IP adresy na otevřených portech loguji a vidím tam dlouhodobě jen své známe adresy, ze kterých se připojuji já, tak si troufám tvrdit že s tou "inzercí" otevřených portů v nějaké vrstvě IP adresy to nebude tak horké. To bych v blacklistech neměl tisíce IP adres, ale útočníci by šli rovnou najisto. IP adresy by naopak byly v logu navázaných spojeních a tam nejsou...
Tím samozřejmě nechci říct, že žádné zabezpečení je dobré...NENÍ... Spíše než VPN bych ale chtěl jít asi tou cestou SSH.
Případně Vás ještě poprosím o radu, jak podle Vás správně nastavit tu bránu RDP?
« Poslední změna: 27. 05. 2024, 15:44:14 od stredni-vlny »


Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #20 kdy: 27. 05. 2024, 15:47:40 »
Jak vnutíte skupinovou politiku stanici která není v doméně, nebo jak donutíte stanici aby aplikovala patch do registrů?
Nebavím se o stanicích, které mám nějak pod kontrolou.

Tedy ze systému, ke kterému se snažíte připojit pomocí RDP nedokážete vynutit interaktivní přihlášení požadující pokaždé zadání uživatelského jména a hesla...

GPedit.msc
Dále viz obrázek.
A funguje to tak, že hash hesla předaný při otvírání spojení se ignoruje (funguje to jak při zadání do vlastností spojení při spuštění mstsc.exe, tak při rozklepnutí uloženého spojení, i např z 2X RDP při otevření uloženého spojení s uloženým heslem), vyskočí přihlašovací dialog, a bez dalšího zadání hesla přihlášení neproběhne. Možná to jde obejít pomocí auto-fill-in v nějakém správci hesel.
Vyzkoušej, uvidíš.

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #21 kdy: 27. 05. 2024, 16:08:34 »
Hm, no, vzhledem k tomu že "nahaté" RDPčko se do sítě inzeruje (a tedy i skrz ten NAT ven), to není dobrý nápad. V článku na odkazu píšou, že při pokusu bruteforce útoky začaly po necelé minutě. A vzhledem k té inzerci portu není potřeba ani porty skenovat.
https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-exposed-rdp-is-dangerous/

Obecně, pokud nutně nepotřebuješ nejrychlejší možnou odezvu, tak jednoznačně VPNku, eventuálně zabezpečenou RDP gateway.
Co je to "inzerce portu"? Jak a kde IP adresa dává najevo (inzeruje), které porty jsou na ní otevřené, bez toho aby bylo nutné je postupně proskenovat? I v tom článku se píše o skenovacích nástrojích. Opravdu se nabavím o případu, kdy útočník zkouší jeden port za druhým a až odhalí ten RDP. U mě, i kdyby na něj postupně došel, tak ho to stejně dropne a nedozví se o něm.
Jedině by muselo být v síti ISP nějaké zařízení, které by odchytávalo provoz a zjišťovalo na kterých portech prochází navázání komunikace zvenku. A vzhledem k tomu, že IP adresy na otevřených portech loguji a vidím tam dlouhodobě jen své známe adresy, ze kterých se připojuji já, tak si troufám tvrdit že s tou "inzercí" otevřených portů v nějaké vrstvě IP adresy to nebude tak horké. To bych v blacklistech neměl tisíce IP adres, ale útočníci by šli rovnou najisto. IP adresy by naopak byly v logu navázaných spojeních a tam nejsou...
Tím samozřejmě nechci říct, že žádné zabezpečení je dobré...NENÍ... Spíše než VPN bych ale chtěl jít asi tou cestou SSH.
Případně Vás ještě poprosím o radu, jak podle Vás správně nastavit tu bránu RDP?

Z popisu spojovací sekvence RDP to chápu tak, že stačí na port poslat paket žádosti o spojení RDPčkem, a pokud tam RDP poslouchá, vždy odpoví příslušným paketem s informacemi o sobě. Otázka je, jestli na to na nesprávném portu firewall zareaguje; tzn jestli za sken považuje i jinak korektní pokus o otevření spojení s portem, který není otevřený. Pokud blacklistováním reaguje na všechno, co není korektním a úspěšným pokusem o spojení na konkrétní správný port se správnou službou, mohlo by to fungovat, ale pak záleží na tom, jestli to útočník bude zkoušet znovu / po jaké době, a jestli to vzdá nebo ne. Pokud je tam automatické odblokování, tak to v konečném (i když dlouhém čase) objevit dokáže.

stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #22 kdy: 27. 05. 2024, 17:39:16 »
Z popisu spojovací sekvence RDP to chápu tak, že stačí na port poslat paket žádosti o spojení RDPčkem, a pokud tam RDP poslouchá, vždy odpoví příslušným paketem s informacemi o sobě. Otázka je, jestli na to na nesprávném portu firewall zareaguje; tzn jestli za sken považuje i jinak korektní pokus o otevření spojení s portem, který není otevřený. Pokud blacklistováním reaguje na všechno, co není korektním a úspěšným pokusem o spojení na konkrétní správný port se správnou službou, mohlo by to fungovat, ale pak záleží na tom, jestli to útočník bude zkoušet znovu / po jaké době, a jestli to vzdá nebo ne. Pokud je tam automatické odblokování, tak to v konečném (i když dlouhém čase) objevit dokáže.
Mělo by to fungovat na všechny input pakety. Samozřejmě, všechno se dá hacknout a pokud by někdo postupoval port po portu vždy po třeba třech dnech nebo paralelně na více strojích, tak na to jednou přijde. Proto řeším i to případné další zabezpečení. RDP mám provizorně povolenou jen ze známé WAN adresy, ale chci to vyřešit jinak. Na druhou stranu, nejsem banka ani atomová elektrárna. Nic víc horšího kromě případného reinstalu OS mě potkat nemůže.. Další věc, že RDP není jediná viditelná služba. Jsou tam další věci, ona vlastně ani ta vlastní komunikace přijímačů v případném režimu klient server přes UDP nebude nijak moc zabezpečená. Ale jo, nějak začnu a dnes dálkově zprovozním to SSH, to stejně musím... chci už rozvolnit to omezení RDP jen na známou IP adresu.
Každopádně díky

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #23 kdy: 27. 05. 2024, 18:48:46 »
Můžu doporučit ještě jednu možnost - stunnel (s direktivou "verify 3") a s klientským certifikátem. Je možné ho mít jako portable. A pak stačí bat, který napřed otevře stunnel a pak spustí rdp s konfigem.
Případně je i cesta Apache Guacamole.

stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #24 kdy: 27. 05. 2024, 19:56:25 »
Děkuji... Já bych ještě k výše uvedenému doplnil, že to, na čem tam služba vzdálené plochy poslouchá je běžný TCP. Přes vlastní protokoly to běží až potom, po vytvoření spojení. Ale na routeru a ve firewallu musí být povolen TCP. Rozdíl mezi posloucháním na portu oproti SSH a VPN tedy asi žádný nebude. Rozdíl bude až při samotném přenosu.

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #25 kdy: 27. 05. 2024, 23:53:41 »
Děkuji... Já bych ještě k výše uvedenému doplnil, že to, na čem tam služba vzdálené plochy poslouchá je běžný TCP. Přes vlastní protokoly to běží až potom, po vytvoření spojení. Ale na routeru a ve firewallu musí být povolen TCP. Rozdíl mezi posloucháním na portu oproti SSH a VPN tedy asi žádný nebude. Rozdíl bude až při samotném přenosu.

Mas v tom slusny zmatek. RDP vzdy bezi pres TCP a nekdy i pres UDP. Teprve uvnitr TCP a/nebo UDP je nejaky ten RDP protokol. TCP port ani UDP port pri pouziti VPN nemusis vystavovat ven. Kazda slusna VPN se bezne a bez problemu provozuje s kryptoklicema, takze pouziti autorizace heslem je opravdu brutalni nonsens z druhohor. Tam, kde ti bezi ten podivny port-knocking by sla zcela jiste zprovoznit i VPNka, takze zadne mikro ani makro tiky nepotrebujes. Atd.

Ale proti gustu zadny disputat.

stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #26 kdy: 28. 05. 2024, 08:53:46 »
Mas v tom slusny zmatek. RDP vzdy bezi pres TCP a nekdy i pres UDP. Teprve uvnitr TCP a/nebo UDP je nejaky ten RDP protokol. TCP port ani UDP port pri pouziti VPN nemusis vystavovat ven. Kazda slusna VPN se bezne a bez problemu provozuje s kryptoklicema, takze pouziti autorizace heslem je opravdu brutalni nonsens z druhohor. Tam, kde ti bezi ten podivny port-knocking by sla zcela jiste zprovoznit i VPNka, takze zadne mikro ani makro tiky nepotrebujes. Atd.

Ale proti gustu zadny disputat.
Jestli Vy nemáte spíše zmatek v tom, pochopit, co jsem psal...
1. nemám nikde žádný podivný port-knocking... maximálně port-dropping, když už:-D A popravdě je mi i úplně jedno, když o tom píšete, že je to podivné nebo směšné řešení. Od té doby, co to používám, tak přestalo veškeré skenování, pingování a osahávání portů, o pokusech o připojení se ani nebavím. Navíc, již zakázené IP adresy router odřízne hned a už ani nezatěžují opětovným procházením pravidel firewallu.

2. Firewall mám právě na jednom z těch mikrotiků, takže nechápu poznámku o nepotřebě mikro - makro???

3. Nepotřebuji se připojovat pouze k PC a vzdálené ploše, ta vzdálená plocha je v celém tom projektu celkem podružná oproti připojování se k jiným službám a JINÝM ZAŘÍZENÍM a to i při vypnutém PC. Tedy VPN by musela běžet opět někde na úrovni routeru. Opět tedy nechápu poznámku o mikro-makro-ticích??... Spíš z Vašeho textu cítím, že místo rady máte potřebu zesměšňovat a útočit....

4. To, že RDP někde i bez "osahání portu" otevřeně "inzeruje", to že je na dané IP někde na portu otevřená tu psali jiní, já jsem pouze podotkl, že ta služba poslouchá na normálním TCP portu, stejně jako poslouchají jiné služby. A toto je pravda. Nijak se to ani nevylučuje s tím, co píšete dál.

5. Když jste spokojen s VPN, používejte ji. Mně prostě nevyhovuje. Pro vzdálenou plochu už mám zprovozněný tunel přes SSH a jsem spokojen, otázka je, jak přes to půjdou přenášet další služby, ale na vzdálenou plochu to funguje dost dobře. Ještě si s tím chce pohrát, ale vypadá to jako dobrá cesta. Ještě vyzkouším i ten stunnel.

6. Osobně by mě nikdy ani nenapdalo snažit se zesměšňovat a dehonestovat lidi, kteří se na něco zeptají zase mě... ale jak říkáte, "proti gustu...."... mně to nevadí...když vám to udělá radost... Na závěr jedna rada, ani se nezkoušejte např. dívat na celosvětovou síť radioamaterských přijímačů KIWI. Osobně KIWI nepoužívám, protože to beru jako hodně levné a po rádiové stránce ani nic moc řešení, ale z toho, jak je to zabezpečené, či spíše na netu přístupné všem, byste se možná opět rozkoktal o druhohorách a dostal infarkt...

Opravdu moc děkuji všem, kteří se mi snažili slušně a korektně poradit, pomoci... vážím si vaší ochoty i času.
« Poslední změna: 28. 05. 2024, 08:57:48 od stredni-vlny »

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #27 kdy: 28. 05. 2024, 10:36:52 »
Jeste jednou a naposled cituji bez komentare:
Citace
Ale na routeru a ve firewallu musí být povolen TCP. Rozdíl mezi posloucháním na portu oproti SSH a VPN tedy asi žádný nebude.

Spanembohem netykavko :)

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #28 kdy: 28. 05. 2024, 12:23:23 »
Pre zjednodusenie: pokusate sa amatersky implementovat nestandardne "bezpecnostne riesenie".

Vase riesenie ma dva zakladne nedostatky:
- spoliehate sa na to, ze pred utocnikom zatajite nieco, co by tajne byt nemalo
- je to nestandarne, takze vyrabate taky maly lokalny vendor-lock-in zo vsetkym co k tomu prislucha

V dnesnej dobe botnetov by som osobne take nieco ani nahodou neskusal prehlasit za zabezpecene.
Ale mozno budete mat stastie.

Na vasom mieste by som sa hlavne zamyslel, ci mi stoji za to situacia, ze budem musiet taketo biedne zabezpecenie obhajovat po pripadnom prieniku.

stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #29 kdy: 28. 05. 2024, 13:42:48 »
- spoliehate sa na to, ze pred utocnikom zatajite nieco, co by tajne byt nemalo
Co zatajuji, co by tajné být nemělo? Omlouvám se, ale asi Vám nerozumím, co máte na mysli??

Chcete říct, že je lepší nepoužívat žádný blacklist a rovnou bez té "směšné ochrany", nebo jak tady tomu všichni nadávají je lepší třeba SSH vystavit rovnou? A to je jako lepší? Bezpečnější?
Vždyť si to zkuste sám někdy sledovat, jeden pokus o připojení na jeden port je cca za 1s. Opravdu HODNĚ ZJEDNODUŠENĚ, pokud bych žádný blacklist neměl, tak při tomto tempu je skenovací robot schopný odhalit otevřené porty během chvilky. Pokud bude IP adresa tvrdnout na blacklistu třeba jeden den a každý následující den bude zkoušet hodnotu zvětšenou o jedna, tak mu z jedné IP proskenování mojí IP bude trvat 65 tisíc dní... samozřejmě, je to teoreticky, zjednodušeně atd... ale ten rozdíl mezi několika sekundami a teoretickými 178 lety je snad patrný.
Opravdu neříkám, že je to všespásné řešení, toto vlákno ani nemá za cíl tento "firewall" obhajovat, popisovat, propagovat... vlákno se týkalo zabezpečení RDP a to jsem pomocí SSH vyřešil. Tak nechápu, že tady do toho hodně lidí tak šije. Celý ten "směšný a podivný firewall" je jenom něco navíc a další stupeň zabezpečení, který nic nestojí a v ničem mě neomezuje.

Na vasom mieste by som sa hlavne zamyslel, ci mi stoji za to situacia, ze budem musiet taketo biedne zabezpecenie obhajovat po pripadnom prieniku.
Tak SSH snad bídne není, ne? Anebo podle Vás je? OK, tak si to ten "směšný firewall" odmyslete a poraďte, jak více SSH zabezpečit, aby to bídné nebylo....

Jinak ano, sám před sebou si to už nějak obhájím....
« Poslední změna: 28. 05. 2024, 13:44:26 od stredni-vlny »