Vzdálená plocha WIN 11 na veřejné adrese

stredni-vlny

Vzdálená plocha WIN 11 na veřejné adrese
« kdy: 26. 05. 2024, 09:34:28 »
Vím, že o tom bylo napsáno už hodně, ale prosím o názory jak moc bezpečná / nebezpečná je vzdálená plocha Win 11 (RDP) na veřejné IP? Jedná se mi zejména o posouzení ve spojení s mým firewallem (popíši níže). Případně prosím o tipy, co ještě nastavit, aby použití bylo co nejbezpečnější (snad prý existuje i nějaká brána vzdálené plochy).

Mám nějaká zařízení na remote stanovišti a potřebuji k nim přistupovat - používám přesměrování několika portů na routeru do vnitřní sítě. O VPN zatím neuvažuji (možná v budoucnu). I když se to moc nezmiňuje, možná by se dala vést i polemika, jestli je bezpečnější do vnitřní sítě přes VPN zvenku pouštět PC, se kterým se leze všude možně po netu, nebo jestli je bezpečnější otevřít pouze některé porty na kterých jsou ty služby chráněné heslem, s tím, že jinak se do vnitřní sítě leze co nejméně.

Port vzdálené plochy je samozřejmě změněn na "vysoký", firewall na routeru mám postavený tak, že pokud někdo ohmatává porty z celého rozsahu až do těch 65 tis, jde okamžitě na blaclist a druhý port, i kdyby byl správný, už ani nezkusí. Na blacklistu je podle závažnosti, jak se blížil k používaným portům buď hodiny nebo i dny. Útočník by se tedy musel hned napoprvé trefit na ten správný port a musel by hned vědět co tam běží.
Když to vezmu, že takové skenování portů je asi cca jedno za sekundu, tak za 4 roky provozu se dvakrát stalo, že se někdo napoprvé trefil do otevřeného portu, ale nikam se stejně nedostal (hesla), navíc při druhém portu ho to v obou případech hned zablokovalo. Podle mého názoru někdo např. musel odchytit komunikaci v síti ISP, jinak to ani není možné. Každopádně, myslím si, že firewall mám dobrý. Ale zpět k tématu, jak jinak tu vzdálenou plochu zabezpečit?

Provizorně jsem to povolil jen ze známých WAN adres, ale to není řešení do budoucna. IP adresy se mohou měnit a navíc je pohodlné mít přístup odkudkoliv. Několik let jsem takto na Linuxu a Win používal NoMachine, tam problém nebyl, ale když mám nyní PRO verzi Win, chtěl bych použít přímo nástroj v OS. Vzdálená plocha měla údajně nějaký problém s dírou v bezpečnosti v minulosti, ale ve Win 11 už je to snad vyřešené.
Díky za všechny konstruktivní rady.


Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #1 kdy: 26. 05. 2024, 10:36:58 »
Zdravim, ja misto RDP pouzivam MeshCentral - jakysi opensource TeamViewer, konkretne https://github.com/Ylianst/MeshCentral - umi to linux, wokna i mac a da se to ruzne vzdalene zabezpecit MFA, klicem, certifikatama... jak je libo a funguje to skvele. Zkusi; bych a doporucil tohle, protoze to autori stale vyvijeji a aktivne zaplatuji eventuelni problemy.

Tonda

  • *****
  • 644
    • Zobrazit profil
    • E-mail
Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #2 kdy: 26. 05. 2024, 11:41:08 »
Já když jsem takhle měl kdysi na veřejné IP Windows XP, tak jsem si na z venku dostupný port dal SSH a RDP tuneloval přes SSH.

Nemám zkušenost konkrétně s MeshCentral, ale všechny alternativní aplikace pro přístup na vzdálenou plochu co jsem kdy zkoušel byly ve srovnání s RDP dost hrozné, ve smyslu odezvy a příjemnosti práce s tím.

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #3 kdy: 26. 05. 2024, 13:10:16 »
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #4 kdy: 26. 05. 2024, 14:50:51 »
VPN + dobre nastaveny RDP je rozhodne lepsi nez kazdy zpusob samostatne. Navic celou radu VPN lze provozovat tak, ze jsou bez odposlechu nedetekovatelne (treba WireGuard, OpenVPN)


Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #5 kdy: 26. 05. 2024, 17:01:12 »
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).

Tyhle politiky se vztahují pouze na klienta pro ˇPřipojení ke vzdálené ploše" (mstsc.exe) na stroji kde jsou nastaveny, tedy toto nemůžeš vynutit vzdáleně u klienta.

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #6 kdy: 26. 05. 2024, 23:12:22 »
Nedávno tu bylo vlákno.. RDP protokol evidentně není vrchol bezpečnosti. Když ne VPN, tak bych to aspoň zabalil do SSH.

.

  • *****
  • 618
    • Zobrazit profil
Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #7 kdy: 27. 05. 2024, 07:18:20 »
Provozovat RDP, byť na nestandardním portu a zároveň neuvažovat o VPN, to je asi jako osadit bezpečností dveře dozickou zámkovou vložkou a myslet si, že to nikdo nepřekoná :D

Osobně mám v síti (kde je PC s RDP) router se spuštěným OpenVPN serverem na veřejné IPv4 a na tom konkrétním PC s RDP pak nastavený firewall viz obr. níže. PC s RDP má pochopitelně fixní IP adresu ve vnitřní síti, přes kterou se do něho dostanu z jiných zařízení, na kterých je aktivní OpenVPN klient (NB, mobil, jiné PC). Na PC s RDP mně běží W10 Pro, ale předpokládám, že u W11 Pro to bude identické (nebo aspoň podobné).


Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #8 kdy: 27. 05. 2024, 08:03:16 »
Pred nedavnom mali k meshcentral prednasku na installfestu.
Ja tiez vsetko rad skusam a testujem na ostrom internete, ale vzdy je lepsie pouzit VPN. Zrejme velmi dobre riesenie je wireguard.
K wireguard sa priznava vacsina spolocnosti, ktore poskytuju VPN pripojenia.

stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #9 kdy: 27. 05. 2024, 08:44:08 »
Provozovat RDP, byť na nestandardním portu a zároveň neuvažovat o VPN, to je asi jako osadit bezpečností dveře dozickou zámkovou vložkou a myslet si, že to nikdo nepřekoná :D

Tak je tam ještě ten, podle mého laického názoru "silný" firewall, který pokud se někdo hned napoprvé netrefí do otevřených portů, každoho hned blokuje. To je taková maličkost, kterou jste jaksi přehlédl.

A nenapadlo Vás, že prostě VPN je pro dané využití další komplikace? Je to prostě radioamatérské zařízení s několika SDR přijímači Perseus. Nepotřebuji jenom vzdálenou plochu, ale např. i přímou a hlavně rychlou komunikaci po UDP portech (přijímače v režimu server - klient), dále přístup do Raspberry a Debianu anebo do některých I/O modulů. Já jsem s VPN kdysi koketoval, mám tam dva Mikrotiky a na nich to jde spustit. Bohužel, komunikace nebyla úplně nejsvižnější + plno dalších problémů (připojování z více míst, zařízení atd...). Navíc jak říkám, stále i když každý bezhlavě propaguje VPN, tak stále řeším polemiku, jestli je bezpečné tu síť úplně otevírat venkovním počítačům, se kterými se leze všude na netu? Ano, zase další firewall a zase další pravidla přes ta první pravidla pro připojené vnější počítače... Jenže, takhle jsou otevřené pouze některé porty, chráněné hesly + firewallem a tečka... do té vnitřní sítě se prostě snažím lézt co nejméně.

Pokud budu o VPN uvažovat, tak jedině v souvislosti s možným úplným přechodem na IPV6. Přijímače Perseus jsou sice drahá a po rádiové stránce špičková zařízení, ale pro režim klient - server software podporuje jen IPV4. Tedy v budoucnu bude asi tunel potřeba. Vzdálenou plochu potřebuji také co nejsvižnější. Přijímače kromě režimu server - klient umožňují i práci s místním PC - např. pro široké nahrávky spektra. Ideálně i s přístupem z mobilu, aby bylo kdykoliv možné se připojit a třeba zadat nahrávání.
Omlouvám se, ale vzdálená plocha Win je zatím to nejlepší, co jsem objevil. A opravdu jsem zkusil všechno možné, všelijaká VNC, Anydesk, TW, dlouho jsem používal i NoMachine - kromě Win i s Linuxem a Linradem. Nic prostě nebylo ono. Až nyní. Je to takový rozdíl, že z původního dualbootu jsem raději přešel jen na Win a kromě origo softwaru Perseus, který je jen pro Win, jsem ten Linuxový Linrad zprovoznil raději také ve Win.

Nezanedbatelná ochrana je i to, že PC prostě neběží 24/7, ale dálkově mohu ovládat přes net i povely pro jeho zapnutí (1s impuls, jako kdyby se zmáčklo tlačítko napájení). Pokud je PC vypnutý, tak se do něj útočník stejně nedostane. Pokud je zapnutý, obyčejně už RDP relace běží.

Jako zajímavé řešení se alespoň teoreticky jeví to SSH, teoreticky by přes SSH možná šla tunelovat i komunikace přijímačů, i když četl jsem o tom, že u SSH bývají problémy s UDP přenosem.... otázka, jestli to nebude padat, jako to VPN... SSH na PC stejně plánuji spustit pro přenos souborů (nahrávek), Win má svůj OpenSSH server...i když na konfiguraci jsem si včera večer vylámal zuby, to uznávám, že oproti tomu konfigurace SSH v Linuxu je hračka. Tunelování SSH by se možná dalo zprovoznit i do vnitřní sítě na jednom z Mikrotiků. Otázka je, jestli pak místo zabezpečení RDP nebudu řešit zabezpeční SSH a nebudeme tam, kde jsme byli:-)))

Pochopte prosím, že účelem celého projektu není hrát si se sítí a nastavením výpočetní techniky..to musí prostě co nejjednodušeji a spolehlivě fungovat, maximálně občas zkontrolovat logy....účelem projektu je hrát si s těmi přijímači, anténami a vlnami.

stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #10 kdy: 27. 05. 2024, 08:59:22 »
Jinak, samozřejmě všem děkuji za dosavadní reakce a odpovědi

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #11 kdy: 27. 05. 2024, 09:33:06 »
Jinak, samozřejmě všem děkuji za dosavadní reakce a odpovědi

Tak určite přes VPN, pokud není jiná možnost a pokud to tvůj FW umí, tak restrikce na konkrétní zdrojové IP nebo na IP s geolokaci, třeba jen na CZ

.

  • *****
  • 618
    • Zobrazit profil
Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #12 kdy: 27. 05. 2024, 10:07:13 »
Provozovat RDP, byť na nestandardním portu a zároveň neuvažovat o VPN, to je asi jako osadit bezpečností dveře dozickou zámkovou vložkou a myslet si, že to nikdo nepřekoná :D

Tak je tam ještě ten, podle mého laického názoru "silný" firewall, který pokud se někdo hned napoprvé netrefí do otevřených portů, každoho hned blokuje. To je taková maličkost, kterou jste jaksi přehlédl.
To je celkem úsměvné řešení, protože třeba u mobilních operátorů používá jednu IP adresu půlka města, takže s takovou za chvíli bude zablokován úplně každý. A paradoxně se tam pak člověk třeba nedostane ani sám, když se někde přes mobil bude snažit připojit taky a jako na potvoru už bude IP adresa na blacklistu :D

stredni-vlny

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #13 kdy: 27. 05. 2024, 11:07:48 »
To je celkem úsměvné řešení, protože třeba u mobilních operátorů používá jednu IP adresu půlka města, takže s takovou za chvíli bude zablokován úplně každý. A paradoxně se tam pak člověk třeba nedostane ani sám, když se někde přes mobil bude snažit připojit taky a jako na potvoru už bude IP adresa na blacklistu :D
Tak hlavně, že se bavíte... problém je, že v 99,999 procentech nejsou útoky a skenování portů z běžných sítí v ČR. Schválně si u svého vlastního routeru zkuste někdy logovat pingování a skenování portů, dělají to nejvíce automaty z Ruska, Ukrajiny, USA, Nizozemska, Německa, Indie... takový automat, který by fungoval s mobilními daty v nějakém malém městě v ČR bych fakt chtěl vidět....

Naopak, lepší řešení jsem zatím nenašel, je strašně jednoduché a navíc účinné... zkusítě jeden port a jdete do pr.....

Re:Vzdálená plocha WIN 11 na veřejné adrese
« Odpověď #14 kdy: 27. 05. 2024, 11:32:16 »
Možná jen tak pro klid ducha bych ve Windows přinastavil tohle. Způsobuje to, že předuložené heslo v RDP klientovi je ignorováno a uživatel ho musí zadat extra znova. Ale upřímně: nevím, jestli i tohle útočníci nějak umí zautomatizovat (podle mého názoru jde zautomatizovat všechno). Jak říkám, je to jen pro klid ducha (a v korporátech pro buzeraci adminů, protože to bezpečáci vyžadují všude nastavovat, neboť si přečetli, že to je bezpečnější).

Tyhle politiky se vztahují pouze na klienta pro ˇPřipojení ke vzdálené ploše" (mstsc.exe) na stroji kde jsou nastaveny, tedy toto nemůžeš vynutit vzdáleně u klienta.
Naopak, tohle se nastavuje na straně serveru, aby klientovi vnutil nutnost pokaždé heslo naťukat, takže uložené nebo na příkazové řádce napsané přihlašovací údaje nebudou fungovat, vždycky se to znovu dotáže na heslo, které se musí napsat.
A znovu říkám: nevím přesně, zda to funguje univerzálně pro všechny klienty, nebo může existovat klient (imho může), který to dokáže i tak zautomatizovat (nepočítám takové ty "autotype" fíčury, jako má třeba KeePass apod.). Mám to tak nastavené taky na jedné veřejně vystavené vzdálené ploše (ostatně odtud je ten screenshot) a funguje to tak, jak říkám.

Google mě na dotaz přímo k MS nezavedl, tak alternativní link zde.