Port 3389 beveiligen

Je kan de firewall instellen om alleen verbindingen te accepteren van een bepaald source IP. Maar wat heb je zelf al opgezocht?

Je kan in je router/firewall inderdaad een aantal dingen instellen.

Welke service gaat het hierom? En anders even een opt-in voor ip/macadress ofzo.

Ah zie het al, Remote Desktop. Daar kan geloof ik wel een wachtwoord op, als je je user account met een wachtwoord beveiligd.

[ Voor 29% gewijzigd door RedHat op 01-01-2014 19:49 ]

Je kunt bij Windows bij Advanced Firewall Settings instellingen veranderen voor bijv alleen poort TCP 3389.
Je kunt hier bijvoorbeeld instellen dat er alleen verbonden mag worden via dit IP en dit IP niet.
Ook kun je instellen of het een beveiligde verbinding moet zijn dmv IPSEC.

of niet poort 3389 gebruiken helpt ook al weer een beetje


een vpn tunnel (ipsec/ssl) is nattuurlijk een veel beter idee

portknocking is ook leuk http://www.portknocking.org/

[ Voor 18% gewijzigd door Fish op 01-01-2014 19:56 ]

Zelf zet ik een SSH verbinding naar thuis op, daarna tunnel ik RDP daar overheen.
Dan heb je SSH als extra barriere.

In Mikrotik kan je zoiets opzetten:

Je belt in op je Mikrotik met een VPN. Deze wordt denied (ook al zijn je naam / wachtwoord correct). Maar stiekem heeft MKTIK wel je naam / wachtwoord gecontroleerd. Daardoor opent hij voor zeg 1 minuut poort 23425 (of whatever poort). En als jij weer binnen 1 minuut inbelt met de VPN op DIE poort (die alleen jij kent), gaat het feest door. Als je eenmaal binnen bent, blijft de poort open gedurende de sessie.

Geen idee hoeveel TS verstand heeft van zaken, maar een aantal opties zijn hier genoemd.
Van makkelijk naar moeilijk :

• RDP met username/wachtwoord beveiligen (lijkt me dat dit al gedaan is, omdat je met een bestaande Windows gebruikersnaam inlogt).
• Portforward op de router instellen op een andere poort dan 3389 (intern blijft wel 3389).
• Router instellen om 1 bepaald IP te filteren waarvandaan je de remote verbinding opzet (risico: je IP kan dynamisch zijn).
• Mikrotek (?), portknocking (?) (geen ervaring mee).
• SSH verbdining opzetten en tunnel creëren voor beveiligde verbinding.

Jolke schreef op donderdag 02 januari 2014 @ 08:31:

• RDP met username/wachtwoord beveiligen (lijkt me dat dit al gedaan is, omdat je met een bestaande Windows gebruikersnaam inlogt).

Sterker nog, als je via RDP wil inloggen, móet je een wachtwoord hebben ingesteld op je Windows account, anders kan je niet inloggen.

chim0 schreef op donderdag 02 januari 2014 @ 09:02:
[...]

Sterker nog, als je via RDP wil inloggen, móet je een wachtwoord hebben ingesteld op je Windows account, anders kan je niet inloggen.

oh ?

Error Message: Unable to Log You on Because of an Account Restriction

Jolke schreef op donderdag 02 januari 2014 @ 08:31:
Geen idee hoeveel TS verstand heeft van zaken, maar een aantal opties zijn hier genoemd.
Van makkelijk naar moeilijk :

[list]
...
• Portforward op de router instellen op een andere poort dan 3389 (intern blijft wel 3389).
....

Hoeft ook niet
De luisterpoort voor Extern bureaublad wijzigen
kan op elke poort draaien. maar idd veel makkelijk om in de router op te lossen

[ Voor 41% gewijzigd door Fish op 02-01-2014 09:51 ]

fish schreef op donderdag 02 januari 2014 @ 09:47:
[...]

oh ?

Error Message: Unable to Log You on Because of an Account Restriction

Ja, je moet dus inloggen met een wachtwoord.

Allereerst inderdaad de poort wijzigen, dat heeft bij mij het aantal pogingen tot ongeoorloofd inloggen met 100% verminderd. Met de poort nog op 3389 staan, had ik de event logs volstaan met pogingen tot inloggen, nadat ik die heb gewijzigd heb ik die nooit meer gezien.

Ow, en (indien nog aanwezig) wijzig de user name van je Administrator account ook maar van Administrator naar iets anders, dat is namelijk de user name waar 95% van de brute force attacks op proberen in te loggen.

chim0 schreef op donderdag 02 januari 2014 @ 10:07:
[...]

Ja, je moet dus inloggen met een wachtwoord.

als het uit staat moet het dus niet he. jij schrijft het zo stellig dat het altijd moet , maar dat is niet waar het kan ook zonder passwoord

fish schreef op donderdag 02 januari 2014 @ 10:24:
[...]

als het uit staat moet het dus niet he. jij schrijft het zo stellig dat het altijd moet , maar dat is niet waar het kan ook zonder passwoord

Waar heb je het allemaal over? Als je via extern bureaublad wilt inloggen, moet je altijd een wachtwoord invullen. We hebben het hier over EXTERN BUREAUBLAD, niet over lokaal op een PC inloggen.

Je kunt ook externe toegang beperken tot enkel jouw user account. Dus dan kunnen eventuele andere (non-admin) users niet inloggen. Ik weet niet of dat hetgene is wat je wilt?

DJSnels schreef op donderdag 02 januari 2014 @ 13:55:
Je kunt ook externe toegang beperken tot enkel jouw user account. Dus dan kunnen eventuele andere (non-admin) users niet inloggen. Ik weet niet of dat hetgene is wat je wilt?

idd gewoon een kwestie van rechten fixen

chim0 schreef op donderdag 02 januari 2014 @ 12:28:
[...]

Waar heb je het allemaal over? Als je via extern bureaublad wilt inloggen, moet je altijd een wachtwoord invullen. We hebben het hier over EXTERN BUREAUBLAD, niet over lokaal op een PC inloggen.

Uhm nee niet altijd, als je de moeite had genomen om die link te lezen had dat wat gekeuvel gescheeld

geef je iphone een vast ip adres, en stel ej firewall in dat hij alleen dit ip adres accepteert, dat is het makkelijkst

Verwijderd schreef op donderdag 02 januari 2014 @ 14:01:
@DJSnels Ik hoop dat ik je goed begrijp.
Ik heb maar 1 windows user account.
Die windows user account bereik ik vaak door middel van RDP via mijn iPhone.
Dit wil ik zo houden. Ik wil dat mijn PC/windows account alleen maar toegang accepteert van mijn iPhone en dat de rest geblokkeerd wordt

Dan heeft mijn suggestie geen zin. Als je alleen toegang wilt vanaf je iPhone wordt het lastig, tenzij je je iPhone alleen in hetzelfde LAN netwerk wilt gebruiken. Wellicht is een OpenVPN server nog een oplossing? (er is een OpenVPN client voor iPhone)

fish schreef op donderdag 02 januari 2014 @ 14:01:
[...]

Uhm nee niet altijd, als je de moeite had genomen om die link te lezen had dat wat gekeuvel gescheeld

Ik heb de link prima gelezen.

Verbindingen met een extern bureaublad kunnen niet tot stand worden gebracht wanneer een account met een leeg wachtwoord wordt gebruikt.

Of doel je op het stukje bij "meer informatie"? Wachtwoordbeperkingen aanpassen in het beleid is geen standaard handeling en is ook absoluut af te raden. Bovendien wil TS de boel juist met een extra wachtwoord beveiligen, jouw methode moedigt hem juist aan dit niet te doen. Goed advies!

[ Voor 9% gewijzigd door chim0 op 03-01-2014 08:55 ]

chim0 schreef op vrijdag 03 januari 2014 @ 04:19:
[...]

Of doel je op het stukje bij "meer informatie"? Wachtwoordbeperkingen aanpassen in het beleid is geen standaard handeling en is ook absoluut af te raden. Bovendien wil TS de boel juist met een extra wachtwoord beveiligen, jouw methode moedigt hem juist aan dit niet te doen. Goed advies!

Hij geeft extra informatie, die voor andere mensen (ik inclusief) interessant is. In het geval de info niet van toepassing is, dan kan je er gewoon overheen lezen.

offtopic:
En wil je je houding een beetje aanpassen, want die staat me totaal niet aan.

En daar hebben we natuurlijk gewoon DM of een topicreport voor. Dit is geen interessante informatie - waar ik dan ook gewoon overheen lees

chim0 schreef op vrijdag 03 januari 2014 @ 04:19:
[...]

Ik heb de link prima gelezen.

[...]

Of doel je op het stukje bij "meer informatie"? Wachtwoordbeperkingen aanpassen in het beleid is geen standaard handeling en is ook absoluut af te raden. Bovendien wil TS de boel juist met een extra wachtwoord beveiligen, jouw methode moedigt hem juist aan dit niet te doen. Goed advies!

offtopic:
En wil je je houding een beetje aanpassen, want die staat me totaal niet aan.

Nee het is niet mijn methode maar jouw stelling dat het altijd moet, en dat is pertinent niet zo

als antwoord op je off topic request: nee


edit @beneden; zeg dan standaard, en zeg dan niet altijd

[ Voor 7% gewijzigd door Fish op 03-01-2014 17:42 ]

fish schreef op vrijdag 03 januari 2014 @ 11:07:
[...]

Nee het is niet mijn methode maar jouw stelling dat het altijd moet, en dat is pertinent niet zo

Standaard, zonder het beveiligingsbeleid aan te passen, moet het inderdaad en daar ging het om.