Bezpečnostní úskalí RDP

FKoudelka

Re:Bezpečnostní úskalí RDP
« Odpověď #15 kdy: 23. 03. 2020, 21:04:30 »
Za současného stavu výrazně přibývá požadavků na home office a s humornou nadsázkou tu jsou požadavky, aby ho měla skoro i uklízečka.

Kde to bylo technicky možné a šlo o zodpovědné lidi, tak si vzali počítače domů a jsou připojeni VPN. Kde to nebylo technicky možné, tak mají zapnuté počítače v kancelářích a domu si odnesli staré firemní notebooky, které mám stále plně pod kontrolou a z těch se připojují na své počítače přes RDP skrze vytočenou VPN.

Bohužel staré firemní notebooky došly a požadavky jsou tu další. Úvaha je použít soukromé stanice zaměstnanců. VPN, v ní povolen přístup pouze na konkrétní stanici ve firmě a to ještě jen na RDP, všechny ostatní služby opět zakázané.

Jak moc velké je to riziko? Musel by se teoretický útočník opravdu připojit skrze soukromou stanici zaměstnance na koncovou stanici terminálově a něco tam udělat ručně, případně si pomocí něčím typu makro kamera ve starých Windows, nebo tam je ještě nějaké další bezpečnostní úskalí? Kdybych dané stanice ještě odpojil od internetu, tak bych jim asi teoreticky odřízl i možnost vytvoření dalšího méně okatého kanálu, kdyby k téhle za mě spíš nepravděpodobné situaci došlo.

Můžu poprosit o názor, případně postup, jak to řešíte vy?
Vím, že z toho teď všichni šílí, týden intenzívně řeším vzdálené přístupy. Připojení RDP k pracovnímu PC notabene z domácího kompu je hodně špatně  a s  trochou cynismu, větší riziko než nějaká karanténní opatření na pracovišti. Preferuji VPN na potřebné aplikace, ale to chce samozřejmě mít vyřešeno předem, ne až hrom uhodí. A pořádnou analýzu potřeb a taky trochu odvahy říci ne. Držím palce.


FKoudelka

Re:Bezpečnostní úskalí RDP
« Odpověď #16 kdy: 23. 03. 2020, 21:10:07 »
Jde o to, co chcete chránit a před čím.

VPN do sítě přináší riziko rozšíření nějaké hrozby (viru) po souborech v síti.

Pokud jde o vzdálenou plochu, je bezpečnější variantou RDP přes RDP gateway (součást windows serveru) a bez VPN. Na RDP pak můžete zakázat připojení lokálních disků z PC uživatele.

Obecně bych víc preferoval RDP bez VPN, ale přes gateway. VPN pouze v případech, kdy uživatel potřebuje do celé sítě, ne jen na RDP. Alternativně můžete vytvořit VPN, do oddělené sítě, na které budou pouze RDP služby, ale ostatní služby sítě budou vypnuté. To je ale komplikovanější řešení, náchylné na chybu konfigurace.
RDP gateway, proč ne, ale proč bez VPN? Jaké riziko rozšíření viru a souborů po síti a riziko špatné konfigurace přináší VPN přístup na firemní poštovní , kolaborativní a ekonomické servery ?

FKoudelka

Re:Bezpečnostní úskalí RDP
« Odpověď #17 kdy: 23. 03. 2020, 21:13:03 »
VPN do sítě přináší riziko rozšíření nějaké hrozby (viru) po souborech v síti.
Vy máte dost.
Normální administrátor umí omezit VPN přístup jen na prostředky, které uživatel potřebuje k práci (tj. třeba jen ten RDP server/port 3389).
Obecně vystavovat jakoukoliv Microsoft službu do internetu (snad kromě ASP.NET) považuji za bezpečnostní riziko a snažím se tomu vyhnout. A to nemluvím o spravovatelnosti VPN vs Windows server.

Tady máte čerstvou várku:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=RD+Gateway
+1

FKoudelka

Re:Bezpečnostní úskalí RDP
« Odpověď #18 kdy: 23. 03. 2020, 21:20:06 »
Za současného stavu výrazně přibývá požadavků na home office a s humornou nadsázkou tu jsou požadavky, aby ho měla skoro i uklízečka.

Kde to bylo technicky možné a šlo o zodpovědné lidi, tak si vzali počítače domů a jsou připojeni VPN. Kde to nebylo technicky možné, tak mají zapnuté počítače v kancelářích a domu si odnesli staré firemní notebooky, které mám stále plně pod kontrolou a z těch se připojují na své počítače přes RDP skrze vytočenou VPN.

Bohužel staré firemní notebooky došly a požadavky jsou tu další. Úvaha je použít soukromé stanice zaměstnanců. VPN, v ní povolen přístup pouze na konkrétní stanici ve firmě a to ještě jen na RDP, všechny ostatní služby opět zakázané.

Jak moc velké je to riziko? Musel by se teoretický útočník opravdu připojit skrze soukromou stanici zaměstnance na koncovou stanici terminálově a něco tam udělat ručně, případně si pomocí něčím typu makro kamera ve starých Windows, nebo tam je ještě nějaké další bezpečnostní úskalí? Kdybych dané stanice ještě odpojil od internetu, tak bych jim asi teoreticky odřízl i možnost vytvoření dalšího méně okatého kanálu, kdyby k téhle za mě spíš nepravděpodobné situaci došlo.

Můžu poprosit o názor, případně postup, jak to řešíte vy?
Apropos, jsou ty staré firemní  notebooky s podporovaným a aktualizovaným OS a SW a antivirem?
Za druhé, co takhle rozdělit ty soukromé PC na ty výše uvedené a na ty “mazej do kanclu” ?
Třeba zkontrolovat je přes teamviewer ?
« Poslední změna: 23. 03. 2020, 21:22:57 od FKoudelka »

Re:Bezpečnostní úskalí RDP
« Odpověď #19 kdy: 23. 03. 2020, 21:20:28 »
RDP gateway, proč ne, ale proč bez VPN? Jaké riziko rozšíření viru a souborů po síti a riziko špatné konfigurace přináší VPN přístup na firemní poštovní , kolaborativní a ekonomické servery ?

Fatalni. Chyba v konfiguraci nebo zabezpeceni muze mit lavinovy efekt. Jedna neopatchovana zranitelnost muze zpusobit prunik k centralnim prvkum, eskalaci opravneni a - pruser. Prikladem za vsechny budiz cca dva roky stare chyby v SMB protokolu, kdy i skrz nepouzivanou sluzbu slo ovladnout celou sit. A ruku na srdce, kdo z nas ma opatchovano opravdu 100%?

Proto je nejlepsi vystavit na odiv co nejmin moznych dopadovych ploch a potencionalne nakazene stroje drzet od site co nejdal. A RDG vystavovat az za VPN - teoreticky ok, prakticky neohrabane + pribude starost s izolaci VPN klientu + starost o tu VPN + konfiguraci VPN na klientech - je to trochu uchylne.
« Poslední změna: 23. 03. 2020, 21:22:51 od nocturne.op.15 »


FKoudelka

Re:Bezpečnostní úskalí RDP
« Odpověď #20 kdy: 23. 03. 2020, 21:24:24 »
RDP gateway, proč ne, ale proč bez VPN? Jaké riziko rozšíření viru a souborů po síti a riziko špatné konfigurace přináší VPN přístup na firemní poštovní , kolaborativní a ekonomické servery ?

Fatalni. Chyba v konfiguraci nebo zabezpeceni muze mit lavinovy efekt. Jedna neopatchovana zranitelnost muze zpusobit prunik k centralnim prvkum, eskalaci opravneni a - pruser. Prikladem za vsechny budiz cca dva roky stare chyby v SMB protokolu, kdy i skrz nepouzivanou sluzbu slo ovladnout celou sit. A ruku na srdce, kdo z nas ma opatchovano opravdu 100%?

Proto je nejlepsi vystavit na odiv co nejmin moznych dopadovych ploch a potencionalne nakazene stroje drzet od site co nejdal. A RDG vystavovat az za VPN - teoreticky ok, prakticky neohrabane + pribude starost s izolaci VPN klientu + starost o tu VPN + konfiguraci VPN na klientech - je to trochu uchylne.

Patche samozrejme a na zranitelnosti IPS na firewallu ? Jo a nedělat chyby v konfiguraci...
RDP je jenom jedna ze služeb a IMHO je atraktivnější pro hackery než jiné a má víc zranitelností. YMMW
« Poslední změna: 23. 03. 2020, 21:30:29 od FKoudelka »

Re:Bezpečnostní úskalí RDP
« Odpověď #21 kdy: 23. 03. 2020, 21:28:05 »
Jako jestli souhlasim s otazkou? Nic jineho v citovanem postu nebylo nezli otazky :-)

S pripojovanim soukr notebooku do jakekoli VPN nesouhlasim kategoricky. Aby clovek dovedl opravdu dobre ochranit interni sit pred hrozbami z VPN, musi sakra dobre vede co dela, mit velmi dobry prehled o provozu a potrebach site a mit nejaky rozumny cas na implementaci.

FKoudelka

Re:Bezpečnostní úskalí RDP
« Odpověď #22 kdy: 23. 03. 2020, 21:33:09 »
Jako jestli souhlasim s otazkou? Nic jineho v citovanem postu nebylo nezli otazky :-)

S pripojovanim soukr notebooku do jakekoli VPN nesouhlasim kategoricky. Aby clovek dovedl opravdu dobre ochranit interni sit pred hrozbami z VPN, musi sakra dobre vede co dela, mit velmi dobry prehled o provozu a potrebach site a mit nejaky rozumny cas na implementaci.
V tom se naprosto shodneme. Připadá vám to nereálné? Mně ne, tomu se říká odbornost :-)
Kromě toho to taky chce kvalitní technologie.

Re:Bezpečnostní úskalí RDP
« Odpověď #23 kdy: 23. 03. 2020, 21:36:25 »
No mě taky ne, ale připadá mi to nereálné ve scopu původního tazatele, který na takovou systematickou akci při vší úctě není připraven. Natlačili ho do ne zrovna ideálního rohu, odkud se teď snaží operovat.

FKoudelka

Re:Bezpečnostní úskalí RDP
« Odpověď #24 kdy: 23. 03. 2020, 21:50:40 »
No mě taky ne, ale připadá mi to nereálné ve scopu původního tazatele, který na takovou systematickou akci při vší úctě není připraven. Natlačili ho do ne zrovna ideálního rohu, odkud se teď snaží operovat.
S tím taky souhlasím. Blbý je, že za úspěch ho nikdo nepochválí, ale průšvih odsere. Jako my všichni tady.
Mějte se hezky, dobrou noc

ZAJDAN

  • *****
  • 2 086
    • Zobrazit profil
    • E-mail
Re:Bezpečnostní úskalí RDP
« Odpověď #25 kdy: 23. 03. 2020, 23:06:52 »
uffff.....
1. řešení je hodně pravidel na routeru(izolce IP, porty, etc)
2. řešení je na kliošské stanice nainstalovat Aplikační firewall a tam vytvořit zónu která směruje do VPN, povolit vybrané aplikace a vše ostatní zakázat
3. řešení je na kliošších filtrovat outgoing provoz
« Poslední změna: 23. 03. 2020, 23:11:26 od ZAJDAN »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:Bezpečnostní úskalí RDP
« Odpověď #26 kdy: 24. 03. 2020, 09:16:07 »
V tom se naprosto shodneme. Připadá vám to nereálné? Mně ne, tomu se říká odbornost :-)
Kromě toho to taky chce kvalitní technologie.

Nereálné ne, drahé ano. Dražší, než RDG. Lze spočítat.

No mě taky ne, ale připadá mi to nereálné ve scopu původního tazatele, který na takovou systematickou akci při vší úctě není připraven. Natlačili ho do ne zrovna ideálního rohu, odkud se teď snaží operovat.

Taky se mi zdá, a taky zjistil, že je v rohu, proto se ptá. Na něm je, jestli v rohu zvolí špatné řešení (a ponese si za něj odpovědnost), nebo dokáže prosadit rozumné řešení.

uffff.....
1. řešení je hodně pravidel na routeru(izolce IP, porty, etc)
2. řešení je na kliošské stanice nainstalovat Aplikační firewall a tam vytvořit zónu která směruje do VPN, povolit vybrané aplikace a vše ostatní zakázat
3. řešení je na kliošších filtrovat outgoing provoz

ad 1) vyžaduje statické IP => tím pádem se IP stane součástí bezpečnostního řešení => IP nelze 100% zaručit, že se nezmění => bezpečnost jde vniveč; proto je potřeba se dostat z L2 na L7
ad 2 a 3) nikdo Vám nezaručí, že to neselže nebo že si někdo nevytvoří jinou instalaci bez něj => klientský firewall je určitý typ hardeningu, ale ne bezpečnostní řešení pro server

Re:Bezpečnostní úskalí RDP
« Odpověď #27 kdy: 24. 03. 2020, 09:39:56 »
Dobrý den,
můžu doporučit RDP a stunnel (s parametrem verify 3). Uživatel se tak dostane pouze na RDP a na nic dalšího. Používám právě tam, kde uživatel nemá firemní ntb/pc, který nemám pod svou zprávou. Celý to mám, jako portable balíček, kde je cmd, které spusti stunnel a pak rdp. Jde samozřejmě o množství uživatelů, kterým by to člověk poskytoval. Protože pro každého uivatele je nutný extra NATovaný port. Je nutné mít samozřejmě pro každého certifikát. Stunnel server je možné buď rozjet v nějaké virtuálce a pak distribuovat po síťi, jak je nutné. Na klientských stranách je pak ideální mít aplikační FW - klidně ten od MS a s GUI nadstavbou Windows Firewall Control (a RDP pak povolit pouze ze serveru, kde běží stunnel).
Pokud je nutné mít stunnel server přímo na klientské stanici (protože jiná cesta prostě není), tak je akorát nutné, aby služba stunnel server se spouštěla se zpožděním (zařízení, kde jsou SSDčka nabíhají příliš rychle a stunnel se pak nesprávně nabinduje).
Možnost VPN je také možnost (openvpn, wireguard - ten zatím vyžaduje na win admin práva) a na straně serveru zaříznout vše, kromě RDP.
Pokud bude zájem, poskytnu klidně nastavení stunnel, jak server, tak klient.
« Poslední změna: 24. 03. 2020, 09:46:51 od asdf.root »

Re:Bezpečnostní úskalí RDP
« Odpověď #28 kdy: 24. 03. 2020, 20:32:40 »
Já to vyřešil přímo na NGFW (Fortigate).
SSL VPN a web portál -> uživatel se pomocí www prohlížeče připojí na SSL VPN web portál, kde na něj čeká možnost RDP na svojí stanici. Uživatel má pouze obraz v okně prohlížeče, pokud chce něco kopírovat tak pouze text.
Jakékoliv tunelování je zakázané a uživatel se dostane pouze na svoje PC.
edit: taková varianta Apache Guacamole
« Poslední změna: 24. 03. 2020, 20:35:45 od Michal ... »

Re:Bezpečnostní úskalí RDP
« Odpověď #29 kdy: 25. 03. 2020, 11:14:51 »
Fortigate od verze 5.2 nebo 5.4 a novější používá přímo v sobě quacamole, takže přímo přesně taková varianta, jen bez obsáhlého nastavovaní a konfigurace :)