RDP beveiligen door enable-disable vanuit web - Serversoftware en clouddiensten

donderdag 19 april 2012 17:37

Acties:

Topicstarter

Omdat ik een Windows 2008 R2 server rechtstreeks aan internet heb hangen (dedicated web server) en deze beheer via RDP, zoek ik een manier om dit te beveiligen. Ik maak al gebruik van encryptie op de verbinding en de accounts worden gelocked na 5 foutieve logins.

Ik zoek eigenlijk een manier om het nog extra te beveiligen via een soort port-knocking achtige oplossing.

TS web access is geen optie, omdat de server beheerd moet worden vanuit een Mac.

Ik zat te denken aan een ASP script die dan gedraaid kan worden vanuit de IIS webserver, die een firewall rule enabled of juist disabled.

Hoe lossen andere system admins dit op?

donderdag 19 april 2012 17:58

Acties:

Remco

Kan je geen vpn gebruiken?

The best thing about UDP jokes is that I don't care if you get them or not.

donderdag 19 april 2012 18:17

Acties:

Kavaa

Je kunt het nog makkelijker doen.
Gewoon de poort veranderen naar een andere poort.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?

donderdag 19 april 2012 18:19

Acties:

Verwijderd

djkavaa schreef op donderdag 19 april 2012 @ 18:17:
Je kunt het nog makkelijker doen.
Gewoon de poort veranderen naar een andere poort.

En bots die de poorten 1000-5000 afscannen?.. poort veranderen helpt echt niet, alleen voor human-based-attacks misschien

donderdag 19 april 2012 18:23

Acties:

Turdie

Network Level Authentication wellicht:

Configure Network Level Authentication for Remote Desktop Services Connections

donderdag 19 april 2012 18:29

Acties:

Kavaa

Dan weten ze nog niet wat er achter die poort zit als ze dan gaan proberen komen ze er niet in.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?

donderdag 19 april 2012 18:38

Acties:

RuntimeError

Topicstarter

Remco schreef op donderdag 19 april 2012 @ 17:58:
Kan je geen vpn gebruiken?

Misschien een oplossing, ja. Bij voorkeur dan een VPN die ondersteund wordt op de Blackberry Playbook

djkavaa schreef op donderdag 19 april 2012 @ 18:17:
Je kunt het nog makkelijker doen.
Gewoon de poort veranderen naar een andere poort.

Heb ik aan zitten denken, maar vind ik geen mooie oplossing. De gemiddelde pruts-hacker komt hier niet achter, maar ik vind een niet-standaard poort gebruiken en erop vertrouwen dat deze niet gevonden wordt, niet echt een oplossing.

shadowman12 schreef op donderdag 19 april 2012 @ 18:23:
Network Level Authentication wellicht:

Configure Network Level Authentication for Remote Desktop Services Connections

Wellicht is dit een oplossing, mits het ondersteund wordt door de Playbook en Mac client. Ga ik nog uitzoeken.

donderdag 19 april 2012 18:59

Acties:

Turdie

RuntimeError schreef op donderdag 19 april 2012 @ 18:38:
[...]
Wellicht is dit een oplossing, mits het ondersteund wordt door de Playbook en Mac client. Ga ik nog uitzoeken.

Voor de Mac Client wordt het ondersteund:
http://www.microsoft.com/mac/remote-desktop-client

Network Level Authentication (NLA) is a new authentication method in Windows that offers security enhancements that can help to protect the remote computer from hackers and malicious software. It completes user authentication before you establish a full Remote Desktop Connection. Please see Windows Help for more details on network level authentication.

[ Voor 11% gewijzigd door Turdie op 19-04-2012 19:02 ]

donderdag 19 april 2012 18:59

Acties:

jeanj

F5 keeps me alive

Anders koop je een dd-wrt device, waarmee je een openvn of andere vpn op zet?

Everything is better with Bluetooth

donderdag 19 april 2012 19:07

Acties:

ik222

djkavaa schreef op donderdag 19 april 2012 @ 18:17:
Je kunt het nog makkelijker doen.
Gewoon de poort veranderen naar een andere poort.

Dit meen je niet serieus hoop ik?

Het veranderen van poort heeft helemaal niets met beveiliging te maken, hooguit kan het helpen je logfiles wat kleiner te houden.

Ontopic: Het gebruiken van een whitelist met toegestane IP adressen zou een goede optie kunnen zijn, alleen kan dat toegang ook voor jezelf natuurlijk wel beperken in flexibiliteit. VPN toegang tot een management interface is ook een goede optie maar waarschijnlijk niet heel handig als het slechts voor een enkele server is.

[ Voor 11% gewijzigd door ik222 op 19-04-2012 19:13 ]

donderdag 19 april 2012 20:23

Acties:

RuntimeError

Topicstarter

ik222 schreef op donderdag 19 april 2012 @ 19:07:
[...]

Dit meen je niet serieus hoop ik? Het veranderen van poort heeft helemaal niets met beveiliging te maken, hooguit kan het helpen je logfiles wat kleiner te houden.

Ontopic: Het gebruiken van een whitelist met toegestane IP adressen zou een goede optie kunnen zijn, alleen kan dat toegang ook voor jezelf natuurlijk wel beperken in flexibiliteit. VPN toegang tot een management interface is ook een goede optie maar waarschijnlijk niet heel handig als het slechts voor een enkele server is.

VPN lijkt me een mooie oplossing, maar een DDWRT oplossing gaat het niet worden omdat de server in een datacenter staat en er op dit moment geen budget is voor een extra apparaat. Het zal dus een oplossing moeten worden die op 1 server kan draaien.