Bezpečnostní úskalí RDP

Bezpečnostní úskalí RDP
« kdy: 22. 03. 2020, 08:51:48 »
Za současného stavu výrazně přibývá požadavků na home office a s humornou nadsázkou tu jsou požadavky, aby ho měla skoro i uklízečka.

Kde to bylo technicky možné a šlo o zodpovědné lidi, tak si vzali počítače domů a jsou připojeni VPN. Kde to nebylo technicky možné, tak mají zapnuté počítače v kancelářích a domu si odnesli staré firemní notebooky, které mám stále plně pod kontrolou a z těch se připojují na své počítače přes RDP skrze vytočenou VPN.

Bohužel staré firemní notebooky došly a požadavky jsou tu další. Úvaha je použít soukromé stanice zaměstnanců. VPN, v ní povolen přístup pouze na konkrétní stanici ve firmě a to ještě jen na RDP, všechny ostatní služby opět zakázané.

Jak moc velké je to riziko? Musel by se teoretický útočník opravdu připojit skrze soukromou stanici zaměstnance na koncovou stanici terminálově a něco tam udělat ručně, případně si pomocí něčím typu makro kamera ve starých Windows, nebo tam je ještě nějaké další bezpečnostní úskalí? Kdybych dané stanice ještě odpojil od internetu, tak bych jim asi teoreticky odřízl i možnost vytvoření dalšího méně okatého kanálu, kdyby k téhle za mě spíš nepravděpodobné situaci došlo.

Můžu poprosit o názor, případně postup, jak to řešíte vy?


Re:Bezpečnostní úskalí RDP
« Odpověď #1 kdy: 22. 03. 2020, 09:37:13 »
Připojení RDP přes VPN pokládám za vyhovující, pokud omezíte dostupnot pouze na daný koncový bod a na něm bude mít přihlášený uživatel pouze nutná práva tak bych to pokládal za ok.

Re:Bezpečnostní úskalí RDP
« Odpověď #2 kdy: 22. 03. 2020, 09:56:46 »
Jde o to, co chcete chránit a před čím.

VPN do sítě přináší riziko rozšíření nějaké hrozby (viru) po souborech v síti.

Pokud jde o vzdálenou plochu, je bezpečnější variantou RDP přes RDP gateway (součást windows serveru) a bez VPN. Na RDP pak můžete zakázat připojení lokálních disků z PC uživatele.

Obecně bych víc preferoval RDP bez VPN, ale přes gateway. VPN pouze v případech, kdy uživatel potřebuje do celé sítě, ne jen na RDP. Alternativně můžete vytvořit VPN, do oddělené sítě, na které budou pouze RDP služby, ale ostatní služby sítě budou vypnuté. To je ale komplikovanější řešení, náchylné na chybu konfigurace.

robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:Bezpečnostní úskalí RDP
« Odpověď #3 kdy: 22. 03. 2020, 10:19:43 »
VPN do sítě přináší riziko rozšíření nějaké hrozby (viru) po souborech v síti.
Vy máte dost.
Normální administrátor umí omezit VPN přístup jen na prostředky, které uživatel potřebuje k práci (tj. třeba jen ten RDP server/port 3389).
Obecně vystavovat jakoukoliv Microsoft službu do internetu (snad kromě ASP.NET) považuji za bezpečnostní riziko a snažím se tomu vyhnout. A to nemluvím o spravovatelnosti VPN vs Windows server.

Tady máte čerstvou várku:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=RD+Gateway

Re:Bezpečnostní úskalí RDP
« Odpověď #4 kdy: 22. 03. 2020, 11:05:48 »
Normální administrátor umí omezit VPN přístup jen na prostředky, které uživatel potřebuje k práci (tj. třeba jen ten RDP server/port 3389).


Znalý administrátor by nepokládal dotaz, jaký byl položen. VPN mají taky své slabniny + existentní riziko miskonfigurace. U RDP (RDS) máte k dispozici aspoň rychlé aktualizace.

Pokud se chcete bavit o bezpečném řešení, tak je to extra VPN pro RDS, chráněná certifikátem a tokenem a to samé pro přihlášení na RDP.

Jde o to, že v praxi to vypádává jinak. Starý server, mnohdy už mimo životní cyklus, k tomu VPN na MS Serveru (2008R2 apod.) nebo nějakém Mikrotiku a oboustranně povolený NAT-T. To Vám přijde bezpečnější, než jeden podporovaný a aktualizovaný produkt?


Re:Bezpečnostní úskalí RDP
« Odpověď #5 kdy: 22. 03. 2020, 15:37:55 »
Pro soukromé stanice používáme výhradně přístup přes RD Gateway. Pouštět je do VPN, byť jen do izolované DMZ, je hovadina jak z hlediska náročnosti správné konfigurace,tak z hlediska bezpečnosti.
V každém případě doporučím tuhle variantu, před RDG ideálně posadit nějaký slušný IPS

Re:Bezpečnostní úskalí RDP
« Odpověď #6 kdy: 22. 03. 2020, 17:52:59 »
Dík za podměty.

RD Gateway není aktuální, nemají Windows Server.

VPN pro tyto uživatlé se nebojím, ta je celkem rozumná. Žádná PPTP na něčem neaktualizovaném a podobně. Uživatelů nebude moc, takže i ta firewallová pravidla budou v rozumných přehledných mezích.

Přes politiky omezím ukládání hesel, mapování lokálních jednotek, schránky, ... .


Re:Bezpečnostní úskalí RDP
« Odpověď #7 kdy: 22. 03. 2020, 23:57:21 »
RD Gateway není aktuální, nemají Windows Server.

Ptal jste se na bezpečné řešení. Možná toto je právě doba, kdy by měl klient zvážit pořízení WS. Zcela správně totiž identifikujete to, že při četnějším využívání RDP ve VPN rostou rizika. Pochopitelně, žádný klient nevydá peníze, když existuje srovnatelné řešení levněji. Na vás by mohlo být právě umět vysvětlit, v čem se řešení liší.

Při výběru VPN si dejte pozor, aby nezvyšovala výrazně latenci. PPtP není bezpečné. OpenVPN je tragedie (nejen) na výkon. L2TP je fajn, pokud ani na jedné straně (ani po cestě) není NAT. Pokud jsou oba konce na MS technologiích, zaměřil bych se na SSTP.

mhi

  • *****
  • 500
    • Zobrazit profil
Re:Bezpečnostní úskalí RDP
« Odpověď #8 kdy: 23. 03. 2020, 01:32:28 »
trochu to odbocuje od tematu, nicmene "objevil" jsem moznosti Windows+SSH serveru jak velmi narychlo udelat sifrovany tunel pro homeoffice. Windows jdou nastavit tak, aby umely pres klasickou cestu '\\server\share' projit tunelem skrze Putty na nejaky SSH server, ktery jde navic nastavit tak, ze povoli portfw jen na dany port (445 pro CIFS, 3389 pro RDP).

Win CIFS over SSH: https://www.nikhef.nl/~janjust/CifsOverSSH/Howto_Loopback.html (port je 445 pro novejsi systemy a ne 139!)

Re:Bezpečnostní úskalí RDP
« Odpověď #9 kdy: 23. 03. 2020, 08:27:13 »
RD Gateway není aktuální, nemají Windows Server.

VPN pro tyto uživatlé se nebojím, ta je celkem rozumná. Žádná PPTP na něčem neaktualizovaném a podobně. Uživatelů nebude moc, takže i ta firewallová pravidla budou v rozumných přehledných mezích.

Přes politiky omezím ukládání hesel, mapování lokálních jednotek, schránky, ... .

Windows Server nemají...
Přes politiky omezím...

No tak moment. Tady něco nesedí, můžete popsat topologii?

- windows server stojí pár korun, CALy jsou teda o něco horší...
- windows server můžete začít používat ihned, 180d trial je víc než dobrá nabídka

Re:Bezpečnostní úskalí RDP
« Odpověď #10 kdy: 23. 03. 2020, 10:00:23 »
- windows server stojí pár korun, CALy jsou teda o něco horší...

Ony ani CALY nejsou tak drahé, když si vezmete, že pokryjí několik let práce a poměříte je ke mzdě pracovníků.
Jak už jsem psal, myslím si, že IT odborník by měl umět zákazníkovi vysvětlit, že pokud se mění situace a je nový požadavek na práci z domova, že je to čas na změnu v koncepci. Samozřejmě mě hned napadají i vedlejší linie, co z dotazu vyplývají - např. že pokud pan kolega chce z VPN pouštět RDP až na stanice, musí mít stanice statické IP adresy. To je další věc, která se dávno dělá jinak a taky by zasloužila změnu.

Re:Bezpečnostní úskalí RDP
« Odpověď #11 kdy: 23. 03. 2020, 14:27:16 »
Já to říkám taky, kdo si za pět let nevydělá 1200,- na CAL, toho je lepší nezaměstnávat vůbec.

Horší je to s cashflow když jich máte koupit 100, k tomu 100 RDS CAL a OLP Office na terminal. To už je raketa když se to spočte. Spoustu zákazníků to dovede k vědomému porušování licenčních podmínek, které potom horko těžko rovnáme. Přístup na stanici vyjde samozřejmě levněji, akorát se maličko hůř spravuje.

A stanice a statické IP? Fuj. Navrhoval bych funkční DNS, potom to fakt řešit nemusíte. Přes RDG se dá uživatel tunelovat přímo na stanici, na základě access pravidel klidně i kamkoli jinam.

Re:Bezpečnostní úskalí RDP
« Odpověď #12 kdy: 23. 03. 2020, 14:52:42 »
Horší je to s cashflow když jich máte koupit 100, k tomu 100 RDS CAL a OLP Office na terminal. To už je raketa když se to spočte. Spoustu zákazníků to dovede k vědomému porušování licenčních podmínek, které potom horko těžko rovnáme. Přístup na stanici vyjde samozřejmě levněji, akorát se maličko hůř spravuje.

Pokud máte 100 zaměstnanců, obvykle je cash flow takové, že to unese.
Pokud ne, tak lze licence získat přes Office 365 plány E a rozložit si to v čase. Může to být i pro firmu výhodnější, protože pořízení licencí se daňově odpisuje 36 měsíců, zatímco pronájem (O365) jde do daňových nákladů rovnou.

Citace
Navrhoval bych funkční DNS, potom to fakt řešit nemusíte. Přes RDG se dá uživatel tunelovat přímo na stanici (...)

Přesně tak. Ale to jsem jen tak namátkou vybral jednu oblast, která by patrně potřebovala zlepšení.

Re:Bezpečnostní úskalí RDP
« Odpověď #13 kdy: 23. 03. 2020, 18:38:13 »
Omezení ukládání hesel bych se vyhnul - je to možné třeba přes program rdp.exe obejít. Navíc to bude nutit zaměstnance nechat session otevřenou celý den.

Jak zde doporučovali - na 180 dní testovací verze Windows Serveru je to nejjednodušší a nejlepší co můžete udělat - RDS je v tom také zahrnuté, nijak to neobtěžuje.

Z VPN dobře a jednoduše funguje Softether - konfigurace je jednoduchá, pravidelné aktulizace, výkonné.

Re:Bezpečnostní úskalí RDP
« Odpověď #14 kdy: 23. 03. 2020, 18:42:26 »
Omezení ukládání hesel bych se vyhnul - je to možné třeba přes program rdp.exe obejít. Navíc to bude nutit zaměstnance nechat session otevřenou celý den.

Na to je jednoduchá obrana. RDP se nastaví tak, že po půlhodině nečinnosti vzdálenou plochu odpojí. Dalším připojením se uživatel připojí do stavu, ve kterém byl odpojen.

Na terminálovém serveru se ještě přidává i automatické odhlášení, např. po další hodině. Pak to funguje tak, že odpojení je jakési "varování" před odhlášením. Odhlašováním po určité době se šetří prostředky serveru.