remote desktop over internet, veilig?

Tot zover ik weet is RDP ( wat ik denk dat je bedoeld ) out-of-the-box erg veilig.
De keuze voor een alternative poort maakt dit alweer een stukje veiliger.

je zou een VPN bijvoorbeeld kunnen opzetten maar de zwakste schakel blijft dan alsnog een enkel password.
anders vanaf een bepaald IP adres is natuurlijk ook mogelijk.
dit zou je gewoon kunnen instellen via Windows filewall (Inbound Rules)

Hoe veilig is RDP?

Link

Sinds kort wat minder veilig...

[ Voor 18% gewijzigd door hans_lenze op 05-01-2012 23:03 ]

shotputty schreef op donderdag 05 januari 2012 @ 20:17:
Ik heb voor een server remote desktop ingesteld en op de router een andere poort ingesteld die herleid wordt naar de betreffende pc.

Ik kan nu extern de server overnemen door de alternatieve poort te gebruiken en dan via het windows account op de pc in te loggen. Mijn vraag is, hoe veilig is deze setup? Kan ik nog iets doen om een extra beveiliging aan te brengen?

Ik zou graag nog iets instellen dat alleen een bepaald ipadres deze connectie mag maken maar heb geen idee hoe dat gerealiseerd moet worden.

Welk OS / Versie staat op de server? Je kan de ingebouwde firewall (of een 3rd party) instellen dat je alleen van je eigen kantoor op poort 3389 kan connecten.

Het grootste risico is dat men je username + password weet te achterhalen, al dan niet via een bruteforce. Zorg dus in ieder geval dat je een sterk password instelt en probeer indien mogelijk inderdaad via een firewall ACL te regelen dat alleen bepaalde bekende ip adressen erbij kunnen.

hans_lenze schreef op donderdag 05 januari 2012 @ 23:02:
Hoe veilig is RDP?

Link

Sinds kort wat minder veilig...

Uit het artikel "Zodra de worm een Remote Desktop server vindt, probeert het via verschillende, veel voorkomende wachtwoorden als Administrator in te loggen."

Dus gewoon een goed wachtwoord en er is niets aan de hand.

Gewoon een wachtwoord wat geen woord is, meerdere cijfers en meerdere tekens in zitten. IP filtering is leuk maar veel te veel gedoe, RDP is gewoon een veilig protocol zolang je vanaf machines verbind die je vertrouwd. Ga niet vanaf een machine verbinden waar een keylogger op kan staan.

Tsurany schreef op donderdag 05 januari 2012 @ 23:12:
Gewoon een wachtwoord wat geen woord is, meerdere cijfers en meerdere tekens in zitten. IP filtering is leuk maar veel te veel gedoe, RDP is gewoon een veilig protocol zolang je vanaf machines verbind die je vertrouwd. Ga niet vanaf een machine verbinden waar een keylogger op kan staan.

Onzin

Wat denk je dat veiliger is?
!kb3n33nTW@#Ker?
of
elke dag zet ik koffie en die drink ik op en dat is lekker

als wachtwoord.

http://howsecureismypassword.net/

[ Voor 3% gewijzigd door Megamind op 05-01-2012 23:21 ]

brederodekater schreef op donderdag 05 januari 2012 @ 23:10:
[...]


Uit het artikel "Zodra de worm een Remote Desktop server vindt, probeert het via verschillende, veel voorkomende wachtwoorden als Administrator in te loggen."

Dus gewoon een goed wachtwoord en er is niets aan de hand.

Het hernoemen van het administrator account doet ook wonderen

Megamind schreef op donderdag 05 januari 2012 @ 23:16:
Onzin

Wat is er onzin? Leg mij dat eens uit. Je komt hier nu stoer doen met je internet plaatje en je linkje maar wat wil je daarmee bewijzen? Welk stuk van mijn post is hierdoor onzin? Het wachtwoord dat ik voorstel? Is dat onzin? Ik claim niet dat het een extreem sterk wachtwoord is. Bovendien heb ik het over een wachtwoord dat geen woord is, terwijl jij met een woord voorbeeld komt.
Het enige dat ik zeg is dat RDP veilig genoeg is als je een wachtwoord gebruikt dat niet zomaar te raken is. Je kan via RDP immers geen 1000 requests per seconde doen zoals in je voorbeeld. Aan 1 request per seconde zou het opeens al 3000 dagen duren. En dan ga je er nog vanuit dat ik het wel over een woord met wat tekens had.

[ Voor 25% gewijzigd door Tsurany op 05-01-2012 23:47 ]

In zoverre wat hier boven is genoemd zorg dat je het zo dicht mogelijk timmert om zo min mogelijk risico te hebben dus:

A. Admin account hernoemen
B. Sterk wachtwoord
C. Inbound rules aanmaken voor RDP
D. RDP Poort aanpassen.
E. Zorg dat je bijv ook na 3x verkeerd inloggen een vrij lange timeout hebt. (30 min)

Opzich allemaal wel redelijk snel te doen en dan heb je je RDP wel redelijk dicht zitten met minimale risico's

Edit: eventueel met een VPN verbinding mits je firewall/router dat accepteert dan zou je bijv C op je firewall/Router dat moeten instellen. Betreffende VPN zorg dan eventueel wel dat zoiets bijv ook alleen je eigen IP's een VPN mogen opzetten

[ Voor 22% gewijzigd door bobsquad op 05-01-2012 23:53 ]

Dat poort aanpassen is misschien leuk om je logs wat minder snel te laten volstromen maar ik zou het zeker geen beveiligingsmaatregel noemen want dat is het niet.

Maar goed als je de overige zaken zie bobsquad hierboven in een lijst heeft gezet uitvoert is het behoorlijk goed beveiligd natuurlijk

[ Voor 29% gewijzigd door ik222 op 05-01-2012 23:52 ]

ik222 schreef op donderdag 05 januari 2012 @ 23:51:
Dat poort aanpassen is misschien leuk om je logs wat minder snel te laten volstromen maar ik zou het zeker geen beveiligingsmaatregel noemen want dat is het niet.

Maar goed als je de overige zaken zie bobsquad hierboven in een lijst heeft gezet uitvoert is het behoorlijk goed beveiligd natuurlijk

Betreffende het poort veranderen je houd er wel de standaard bots en wormen tussenuit en vooral scriptkiddies die in eerste instantie alleen bijv met nmap of een dergelijk programma aan de slag gaan. Maar zorg gewoon dat het heel lang duurt dat ze erin kunnen komen want A. je data is waarschijnlijk toch niet belangrijk voor hun om te hacken. B. Bots geven het vaak ook op na een x aantal pogingen.

p.s. je zou natuurlijk ook nog automatisch een block rule kunnen instellen van IP's die binnen proberen te komen. Nu weet ik niet of dat onder Windows überhaupt bestaat maar in linux kan dit vrij eenvoudig.

Welke OS versie staat op je server geinstalleerd? Afhankelijk van de versie kun je nog het eea beveiligen met certificaten.

Securing RDP/Terminal Services Communications