RDP blokkeren voor externen

Je hangt je server toch niet direct aan het internet hoop ik? Daar zou ik toch wel een firewall voor zetten. Verder zou ik pptp niet meer gebruiken, dat is al een tijdje niet veilig meer.

Kan je bij je hosting partij niet aangeven vanaf welke ip adressen je verbinding mag maken naar hun.

Ik zou mij niet alleen druk maken om RDP, maar ook om alle andere services die op deze Windows server draaien.

Ik zou PPTP nou niet als veilig beschouwen. Als je al via een VPN erop wil, neem er dan een die je verkeer versleutelt, zoals SSTP, L2TP of OpenVPN.

Maar ik deel de mening dat je bij je hosting partij waarschijnlijk wel een firewall rule kan laten maken die alleen vanaf jouw WAN IP verkeer over TCP 3389 toestaat. Dan kan je op andere netwerken via je VPN naar binnen. Ik zou niet teveel moeite doen ook je VPN af te schermen. Zorg gewoon voor een VPN die versleuteld is en sterkte credentials.

Guacamole als connectionbroker er voor, de rest achter de firewall.

Verwijderd schreef op donderdag 12 december 2019 @ 13:01:
Dank voor jullie reactie jongens.

Ik zal inderdaad eerst aan mijn hosting partij vragen of ze een firewall rule voor me kunnen aanmaken die alleen mijn WAN IP(s) verkeer over TCP 3389 toestaat.

RDP wil je eigenlijk nooit over het Internet, tenzij je met whitelisting werkt.

En om even terug te komen op @Rolfie, dien ik dan meer dan alleen mijn RDP service dicht te zetten voor het internet? Mijn excuses jongens heb hier niet veel ervaring in.

Standaard heeft Windows bijvoorbeeld ook SMB (fileshare) actief. Als het een domain controller is, dan heb je nog veel meer porten open staan.

Je vanaf je server even een GRC shieldsup kunnen doen. Je ziet dan heel gemakkelijk welke porten er exact openstaan vanaf het Internet.

Als je het alsnog via je Windows Firewall moet regelen kun je in de Remote Desktop Protocol rule (onder inbound rules) de scope aanpassen. De remote adresses zou ik dan aanpassen naar bijv. alleen je eigen interne subnet.

Verwijderd schreef op donderdag 12 december 2019 @ 13:01:
Dank voor jullie reactie jongens.

Ik zal inderdaad eerst aan mijn hosting partij vragen of ze een firewall rule voor me kunnen aanmaken die alleen mijn WAN IP(s) verkeer over TCP 3389 toestaat.

En om even terug te komen op @Rolfie, dien ik dan meer dan alleen mijn RDP service dicht te zetten voor het internet? Mijn excuses jongens heb hier niet veel ervaring in.

Nee, je moet RDP naar de server niet toestaan vanuit buiten het netwerk. Je gebruikt VPN om naar binnen te komen. Dus alle RDP verbindingen van buiten het netwerk mogen niet naar je server toe.

Maar zoals gezegd kan je dat beter breder trekken. Een windows server wil je eigenlijk nooit direct met open poorten aan het internet hebben hangen. Dus eerst even checken of dat het geval.

Daarnaast is pptp, zoals ook gezegd, inmiddels antiek.

Vooropgesteld wil je de poort het liefste via een whitelist. Mochten er toch veel mensen vanaf verschillende adressen verbinding maken kan je het volgende overwegen:

1) RDP poort aanpassen naar iets in de 30000+ range. Verbinding maken via bijvoorbeeld: xxx.xxx.xxx:30000
2) User account na 3-5 verkeerde pogingen blokkeren voor 15min+
3) Een script draaien welke inlogpogingen monitort en verdachte situaties automatisch blacklisten (hier zijn mooie git projecten over te vinden).

Dit is zoals ik mijn Windows VM's heb draaien en dat gaat al jaren prima.

Kleine toevoeging. Alle poorten die je niet gebruikt gewoon default blokkeren in je firewall. Alleen openzetten indien nodig en daarbij alles zo instellen dat het alleen benaderbaar is indien het nodig is voor de dienst via bijvoorbeeld een whitelist. Daarnaast heb je altijd nog de optie om de poort op een andere plek te plaatsen wat de kans op een aanval al kleiner maakt. Via de logs kan je controleren of er verdacht verkeer naar je poort gaat.

[ Voor 28% gewijzigd door Lesserkey op 17-12-2019 16:24 ]

Lesserkey schreef op dinsdag 17 december 2019 @ 15:50:
1) RDP poort aanpassen naar iets in de 30000+ range. Verbinding maken via bijvoorbeeld: xxx.xxx.xxx:30000

Security through obscurity dus. Het enige wat je hiermee bereikt is een veilig gevoel, en wat minder vervuiling in je logbestanden (om die laatste reden gebruik ik dus ook niet-standaard poorten), maar echt veiliger is het niet.

@Lesserkey nee, nee en nog eens nee!
De TS geeft aan een vpn (oud geval maar toch beter dan niks) te gebruiken en je geeft hem advies om het toch aan het internet te hangen?

In de firewall alles dichtgooien voor al het verkeer wat niet via de vpn binnen komt.

RDP wil je NIET whitelisten per IP adres. RDP mag gewoon niet op internet. Ook niet vanaf specifieke IP adressen. RDP mag ook niet op een andere poort, omdat je er maar 49152 hoeft te bruteforcen, of 65535 als je niet conform bent.

Gebruik alsjeblieft minstens een RDG. Maar serieus, als je met dit soort vraagstukken zit en je zet een server gewoon zo open op internet, dan hebben wij er weer een botnet bij. Dus laat je server alsjeblieft inrichten door een professionele partij of neem eerst de benodigde whitepapers en best practices door voordat je je server aanzet.

Jullie hebben eigenlijk wel gelijk, er zit al een VPN op dan is het voorstel wel het slechtste voorstel. Het is inderdaad een kwestie van goed inrichten en dan kunnen alle poorten gesloten worden en kan het via de VPN werken.