Alternatieven Terminal Services via poort 3389

Pagina: 1
Acties:

Anoniem: 67691

Topicstarter
Hallo, ik ben op zoek naar alternatieven voor een 2008 Terminal Server waarbij ik poort 3389 dicht kan zetten.

Het problem met poort 3398 is dat je binnen minuten dictionary attacks krijgt vanuit china en rusland, etc.

Op dit moment lossen we het probleem op door gebruikers eerst een PPTP VPN to laten opzetten en daar doorheen de TS verbinding over te sturen, maar er zijn mooiere manieren natuurlijk.Met een VPN zet je een verbinding tussen een thuiscomputer en een kantoorserver open en een virus kan dan zo binnendringen.

Een alternatief waaraan ik dacht is RDP via poort 443, maar is dat niet net zo makkelijk te bruteforcen? Of kan dat niet vanwege het benodigde certificaat?

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 19:45

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Kijk even naar de features van de Terminal Services Gateway
The TS Gateway Manager snap-in console enables you to configure authorization policies to define conditions that must be met for remote users to connect to internal network resources. For example, you can specify:
  • Who can connect to network resources (in other words, the user groups who can connect).
  • What network resources (computer groups) users can connect to.
  • Whether client computers must be members of Active Directory security groups.
  • Whether device and disk redirection is allowed.
  • Whether clients need to use smart card authentication or password authentication, or whether they can use either method.
You can configure TS Gateway servers and Terminal Services clients to use Network Access Protection (NAP) to further enhance security. NAP is a health policy creation, enforcement, and remediation technology that is included in Windows® XP Service Pack 3 (SP3), Windows Vista®, and Windows Server 2008. With NAP, system administrators can enforce health requirements, which can include software requirements, security update requirements, required computer configurations, and other settings.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • kroegtijger
  • Registratie: Juli 2001
  • Laatst online: 15-07 11:15
RDP moet je niet vanaf buitenaf toe wilen staan. Als je het netjes op wilt lossen, zet je er een firewall tussen en bouwen de clients die de TS moeten bereiken een VPN op. Zijn genoeg fabrikanten die dit soort hardware leveren. Grote spelers in de markt zijn Cisco, HP ProCurve, Fortigate, en SonicWall, maar je kan bijvoorbeeld ook bij de professionele lijn van Netgear kijken.

iRacing Profiel


  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 15:35

leuk_he

1. Controleer de kabel!

VPN alleen naar de access server? niet noodzakelijk naar de hele kantoor omgeving.

Mijn eigen "leuk voor thuis" maakt verbinding via een ssh tunnel. over poort 443.

En in het kader van obsurity is bter dan een volle log kun je uiteraard je poortnummer wijzignen Die kan net to goed gebrutefocred worden, maar omdat het een niet standaard poort is zal er maar 0,1% van het verkeer op binnen komen.

[ Voor 21% gewijzigd door leuk_he op 20-09-2012 14:51 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


  • Freezerator
  • Registratie: Januari 2000
  • Laatst online: 22:10
In het kader van security wil je juist een bastion host die de aanvallen opvangt en eruit filterd. Tevens configureer je die zodanig dat je alleen vanuit de bastion host naar de TS verbinding kan maken via poort 3389. Wij gebruiken hier bijvoorbeeld een Junos Pulse voor, kan je ook nog eens checken op welke updates en virus definities je gebruikers hebben voordat ze verbinding maken...

  • Remco
  • Registratie: Januari 2001
  • Laatst online: 15-07 11:55
* Remco vraagt zich af wat er mis is met de oplossing van Question Mark?? Allemaal moeilijke vpn voorstellen...

[ Voor 4% gewijzigd door Remco op 20-09-2012 19:37 ]

The best thing about UDP jokes is that I don't care if you get them or not.


  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 15:35

leuk_he

1. Controleer de kabel!

Remco schreef op donderdag 20 september 2012 @ 19:35:
* Remco vraagt zich af wat er mis is met de oplossing van Question Mark?? Allemaal moeilijke vpn voorstellen...
Je bedoeld dat ale reageerders alle reacties boven hen lezen, en overeenstemming hebben wat de beste optie is zonder dat vragensteller zelf de verschillende opties hoeft af te wegen.

Misschien in versie 8.0 van t.net. ;)

Ergens kriebelt het om een produkt van MS die je echt niet direct aan internet wilt hangen te beveiligen met een ander complex MS produkt. Ik weet het, niet goed onderbouwt.

Wel de simpelste manier.... (tenminste als je rdp clients xp sp3/ vista of nieuwer zijn)

net als obscurity lost het niet het probleem op dat bad hackers het nog steeds kunnen proberen te brute-forcen op het nieuwere MS protocol, en daar de log dan mee vol loopt. maar dat kan met een password beveiligde vpn ook.

@hieronder...
Lees: "moet je in de(ISA SERVER?) firewall zelf regelen dat alleen 443 open staat? "

[ Voor 16% gewijzigd door leuk_he op 20-09-2012 21:30 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


  • Remco
  • Registratie: Januari 2001
  • Laatst online: 15-07 11:55
Voor een Terminal Server Gateway hoeft alleen poort 443 open te staan. Meer niet.

The best thing about UDP jokes is that I don't care if you get them or not.


  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023
Wat is nu exact het probleem?

Port-scanning vindt namelijk plaats op elke standaard poort. Switchen van 3389 -> 443 gaat het poortscannen echt niet significant verminderen. Je krijgt er mogelijk betere security op terug, maar de dictionary attacks komen net zo hard.

  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022
Maar moeten de gebruikers dan verbinden met de TS met hun thuis computers? Lijkt me niet echt fijn.

Normaliter krijgen mensen die thuis mogen werken of veel op pad zijn een laptop van de zaak. Die kan dan via VPN verbinden met het netwerk. Het grote voordeel is dat je de laptop volledig onder controle kunt hebben net als de werkstations die binnen staan (qua policies, anti-virus, updates etc..)

En een goeie DMZ is echt onmisbaar.

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 19:45

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

CMD-Snake schreef op donderdag 20 september 2012 @ 22:11:
Normaliter krijgen mensen die thuis mogen werken of veel op pad zijn een laptop van de zaak.
Hoezo "normaliter"? Da's misschien standaard bij jouw organisatie, maar het meerendeel van de bedrijven waar ik kom gaan steeds meer gebruik maken van het principe "bring your own device"...

Oftewel, elk willekeurig apparaat moet kunnen verbinden.

Dat zal zowel technisch opgelost moeten worden, maar ook procedureel moeten worden vastgelegd in een beleid (wat mag men benaderen vanaf wat voor soort device). En ik weet uit ervaring dat de techniek niet zo lastig is, overeenstemming over het beleid is vaak het struikelpunt...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 14-07 18:03
Gomez12 schreef op donderdag 20 september 2012 @ 21:48:
Port-scanning vindt namelijk plaats op elke standaard poort. Switchen van 3389 -> 443 gaat het poortscannen echt niet significant verminderen. Je krijgt er mogelijk betere security op terug, maar de dictionary attacks komen net zo hard.
Met een terminal server gateway verleg je het RDP protocol niet zomaar van poort 3389 naar 443, maar tunnel je het RDP protocol over HTTPS. Je hangt er dus een fatsoenlijk SSL certificaat aan, wat een dictionary attack dus al meteen een stuk moeilijker maakt. Bovendien geef je in de RDP client een interne servernaam en de FQDN van de TS gateway op. Die moet je als attacker ook net weten, wil je er iets mee kunnen...

Een terminal server gateway maakt het een stuk makkelijker om zonder VPN een veilige RDP verbinding op te zetten. Ik heb bij ons op het werk een terminal server gateway samen met een read-only domain controller in de DMZ draaien. Zo heeft de TS gateway ook niet eens een directe verbinding met de volledige Active Directory database nodig, maar kan toch de nodige users authenticeren...

Acties:
  • 0 Henk 'm!

  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 15:35

leuk_he

1. Controleer de kabel!

Linke Loe schreef op donderdag 20 september 2012 @ 23:32:
[...]
Je hangt er dus een fatsoenlijk SSL certificaat aan, wat een dictionary attack dus al meteen een stuk moeilijker maakt.
Eh, krijgt elke client een SSL certificaat????? nee toch.

Ik denk dat het ssl certificaat er is zodat een open-wifi netwerk (ofzo) geen Man in the middel attack kan doen om een wachtwoord te onderscheppen. Het is er om het domein van de server te authenticeren.

als je in de client meer data moet opgegeven, zoals de interne server naam, helpt het uiteraard wel iets...maar hoe publiceer je die naam voor de eerste keer....

Dus waarom is die brute force nou moeilijker? Ja wellicht kun je regels instellen in de gateway dat hij na 3 fout logins een kwartier niks van dat ip accepteerd (ik verzin het nu waar je bij staat.... doe het fout en je blokkeert een heel remote kantoor voor een kwartier)

[ Voor 10% gewijzigd door leuk_he op 21-09-2012 00:05 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


Acties:
  • 0 Henk 'm!

  • Freezerator
  • Registratie: Januari 2000
  • Laatst online: 22:10
Als je dan toch een VPN gateway gaat gebruiken gebruik je meteen ook 2 factor authenticatie door bijvoorbeeld een token of extra wachtwoord wat via sms wordt verstuurd. Je wil gewoon maximale veiligheid als je externe toegang aanbied, en dan moet je het gewoon goed doen. En als je het dus goed doet, hangt de TS niet direct, maar via een bastion host aan het internet.

Acties:
  • 0 Henk 'm!

  • Razwer
  • Registratie: December 2000
  • Laatst online: 25-06 09:10
Freezerator schreef op vrijdag 21 september 2012 @ 11:05:
Als je dan toch een VPN gateway gaat gebruiken gebruik je meteen ook 2 factor authenticatie door bijvoorbeeld een token of extra wachtwoord wat via sms wordt verstuurd. Je wil gewoon maximale veiligheid als je externe toegang aanbied, en dan moet je het gewoon goed doen. En als je het dus goed doet, hangt de TS niet direct, maar via een bastion host aan het internet.
dat dus, je was me net voor met deze reactie :)

Newton's 3rd law of motion. Amateur moraalridder.

Pagina: 1