Security vraag over port 3389 (RDP)

RDP zal ik écht alleen maar beschikbaar maken via VPN en poort 3389 sluiten.

Zoiets hoeft niet duur te zijn, zet desnoods een access point of router neer die dat kan voorzien, zoals de Synology RT1900AC, of beter nog, een Zyxel als je meer budget beschikbaar krijgt. Voor echt grote bedrijven zijn er natuurlijk betere oplossingen, maar als ik tussen de regels doorlees, zal dat bij jullie niet passen binnen het (missende) budget.

Nog afgezien van alle no-no's (thuiswerken via een werkstation op kantoor, XP, RDP open) zou ik eerst eens betreffende site aan je baas voorleggen en dan uitleggen dat er 10 betere opties bestaan (router/firewall met een veilige VPN oplossing?).

KrazyJay schreef op maandag 12 september 2016 @ 13:07:
RDP zal ik écht alleen maar beschikbaar maken via VPN en poort 3389 sluiten.

Zoiets hoeft niet duur te zijn, zet desnoods een access point of router neer die dat kan voorzien, zoals de Synology RT1900AC, of beter nog, een Zyxel als je meer budget beschikbaar krijgt. Voor echt grote bedrijven zijn er natuurlijk betere oplossingen, maar als ik tussen de regels doorlees, zal dat bij jullie niet passen binnen het (missende) budget.

Dat wou ik net typen!

Echter, een windows 10 (pro) (oem) licentie hoeft niet duur te zijn.

p.s. als je baas in de categorie 'skrale bats' thuis hoort, laat hem wel vastleggen dat hij hierdoor risico loopt en dat het zijn risico wordt

[ Voor 10% gewijzigd door Den the Man op 12-09-2016 13:10 . Reden: skrale bats edit ]

Snel VPN testen en configureren dus voor diegenen die thuis willen werken en RDP poort blokkeren.
http://www.draytek.nl/fun...en/content-blocks/VPN/VPN

Als ik dat zo lees is er een simpele VPN client voor Drayteks beschikbaar.

Vrijwel elke Synology kan als VPN server fungeren. In principe hoef je je niet bezig te houden met vlans als dat nu nog niet voorzien is. Consumentenmateriaal (en in de regel laptops/desktops) kunnen niets met VLAN-tags aanvangen.

In je router zorg je dat de poort van de gewenste VPN-verbinding (zelfs PPTP is nog beter dan het zo laten) doorgestuurd wordt naar de fixed IP van je Synology NAS. DMZ niet gebruiken daarvoor.

In je Synology ga je naar Package Center, installeer VPN Server, stel die in, zorg voor authenticatie en de juiste rechten. Synology heeft een uitgebreide userbase, forums, handleidingen en simulators beschikbaar.

Stel VPN in op de gewenste apparaten, en ga het testen. Het kan zijn dat je nog routeringen in moet stellen in je Synology NAS, maar dat weet ik niet meer van buiten.

--------

Lan to lan is handiger via de Drayteks dan VPN, als het tussen communicatie tussen vestigingen gaat in plaats van thuisgebruikers op het werknetwerk laten inloggen.

Dan kan je het beste 1 van de 2 IP-bereiken aanpassen en via de Drayteks de juiste routeringen instellen. Anders moet je gaan NATten en dat levert alleen maar problemen op.

Je kunt VLANnen, maar als je de routeringen juist instelt, dan voegt een VLAN niets toe.

[ Voor 20% gewijzigd door KrazyJay op 12-09-2016 13:23 ]

Verwijderd schreef op maandag 12 september 2016 @ 13:19:
[...]


Dank voor je reactie, dat wist ik nog niet.
We hebben op een andere pand ook een Draytek Router, beide zelfde modellen.

Is Lan to Lan + met IPsec een betere oplossing?
Op andere pand zit ook glasvezel internet.

Maar ik moet dus wel VLAN's instellen? Omdat op andere adres vaste ipadressen ook beginnen met 192.1.x

Waar komt het andere pand vandaan dan? Thuiswerkers zitten thuis toch, niet daar? Als ze wel daar zitten dan zoek je idd een lan-to-lan verbinding. Als ze thuis zitten, dan heb je met die andere locatie niks te maken.

Wel, er lijken hier 2 dingen door elkaar te lopen.

Voor thuiswerkers, volg het VPN van Synologyverhaal.

Voor koppeling tussen 2 bedrijven, volg het Lan to lan-verhaal.

Dat kan gewoon langs elkaar lopen, zolang je de poorten maar uit elkaar houdt.

Mnjah, maar begrijp ik dat jullie internet verbinding in het andere pand binnenkomt? Dan ligt er sowieso al iets in de vorm van een site-to-site (lan-lan) verbinding.
Heb je gewoon een eigen (glas) verbinding dan heb je dus 0,0 met dat andere pand te doen, niet met lan-lan verbindingen en niet met vlans.
Mbt het VPN verhaal, KrazyJays oplossing werkt prima, maar de Draytek VPN client (mits ondersteund door je router) is makkelijker aan te zetten. Je hoeft dan niks met je Syno te doen. Heb je eenmaal een VPN verbinding dan kun je op het interne IP een RDP connectie maken.

[ Voor 30% gewijzigd door wagenveld op 12-09-2016 13:37 ]

Verwijderd schreef op maandag 12 september 2016 @ 13:34:
[...]


Dank je wel man.
Helder en duidelijk.

(Vraagje, als die thuiswerker dus vanaf VPN van Synology werken), hoe zit dat?
Gewoon het zelfde methode toepassen, dus RDP en ipadres? (Pff, begreep ik het allemaal maar zo goed, zucht)

Lees je even in wat VPN doet, en vooral wat het effect is voor de gebruiker. Als je de routeringen goed doet, dan zit er geen enkel verschil tussen fysiek op het werknetwerk zitten of via VPN werken. RDP werkt dan dus ook gewoon zoals als je op het werk zit.

In principe is Windows XP niet veilig. Maar, aangezien het niet bekend welke software er op staat en wat de compatibiliteit is met anders besturingssystemen zou ik dat voorlopig lekker zo laten, maar wel gaan nadenken over hoe je die computer isoleert van de rest van het netwerk en het internet (op RDP na).

Verwijderd schreef op maandag 12 september 2016 @ 13:01:
Het ergste is, machine draait op XP. (Ik weet het, vol security/vulnerbillities), maar directeur zit geen reden om te overstappen naar Win 10. Iets met kosten/tijd etc.

Stuur je baas een e-mail dat hierdoor alle informatie binnen het bedrijf gevaar loopt en dat je sterk aanraadt dit z.s.m. (binnen een maand) op te lossen (middelen beschikbaar te stellen).

Je baas is dan volledig aansprakelijk voor enige schade. Ook als het om eventuele boetes gaat. Dat is meestal voldoende om snel een budget vrij te maken.

Is dat niet per definitie al zo? Dat een "baas" verantwoordelijk is voor het reilen en zeilen van het bedrijf? Mocht ik een major f-up doen, dan zal het ook mijn werkgever zijn die er voor verantwoordelijk is, in beginsel.

Het is niet verkeerd om je werkgever te informeren per mail, en daarbij de risico's op te sommen. Maar dat doe je niet om je werkgever verantwoordelijk te stellen (als je van je carrière houdt), maar om later iets te hebben om op terug te vallen als het mis gaat. Maar maak dat dan niet persoonlijk gericht op je "baas" met het spreekwoordelijk vingertje er bij, maar meer informatief zonder naar iemand te wijzen en de mogelijke impact op het functioneren van het bedrijf en bijhorende kosten als het mis gaat met het advies een alternatief te zoeken dat veiliger is.

[ Voor 3% gewijzigd door KrazyJay op 12-09-2016 13:51 ]

KrazyJay schreef op maandag 12 september 2016 @ 13:51:
Is dat niet per definitie al zo? Dat een "baas" verantwoordelijk is voor het reilen en zeilen van het bedrijf? Mocht ik een major f-up doen, dan zal het ook mijn werkgever zijn die er voor verantwoordelijk is, in beginsel.

Het is niet verkeerd om je werkgever te informeren per mail, en daarbij de risico's op te sommen. Maar dat doe je niet om je werkgever verantwoordelijk te stellen (als je van je carrière houdt), maar om later iets te hebben om op terug te vallen als het mis gaat. Maar maak dat dan niet persoonlijk gericht op je "baas" met het spreekwoordelijk vingertje er bij, maar meer informatief zonder naar iemand te wijzen en de mogelijke impact op het functioneren van het bedrijf en bijhorende kosten als het mis gaat met het advies een alternatief te zoeken dat veiliger is.

Om met onze jurist-partner te spreken 'het hangt er van af'.

Ik weet van een situatie waarbij 'de schuld' inclusief financiële claim bij een werknemer werd neergelegd. Dit is rechtgezet d.m.v. behulpzame leverancier die de werkgever wel degelijk op de hoogte had gesteld. Omdat deze ook geen status van dit probleem meer had gevraagd bij werknemer was de eis meteen van tafel.

Naast bescherming van jezelf als werknemer (is bovenstaande wel een extreem geval) kan een dergelijke melding aan 'de baas' deze volledig hoofdelijk aansprakelijk maken (wanbestuur) en in het uiterste geval kan het zelfs strafrechterlijke vervolging opleveren.

Dat levert meestal wel wat extra mementum op als het om budgetten gaat.