Remote beheer via terminal service direct aan inet of niet??

Zet hem op een andere (niet standaard Remote Desktop) port. Dit kun je in de registry doen; zoeken naar: 'RDP-TCP'. Dat scheelt je in ieder geval al de scanners die zoeken op standaard open stuff.

Je kunt ook met maximale login tijden gaan werken, en uiteraard encryptie.

RD is standaard al encrypted, je kan evt je encryption level wat hoger zetten in TSconfig snapin.

Zoals Dynamikey als zegt kun je het risico verminderen door de standaardpoort te veranderen. Dat kan via de registry van Windows maar als je een aparte firewall gebruikt is het meestal makkelijker om via de firewall-regels de poort voor Terminal services te remappen.

Is het veilig?
- De verbinding tussen de server en cliënt is volledig encrypted (56 of 128 bits afhankelijk van de instellingen op de server). Normaal gesproken kan niemand jouw gegevensstroom lezen.
- Het blijft wel zo dat iedereen met een geldige Terminal service cliëntlicentie toegang tot jouw server heeft. Men hoeft dus alleen het IP-adres en de gebruikte poort te achterhalen. Vervolgens krijgt men het inlogscherm van jouw server te zien. Het is dan slechts te hopen dat er geen gebruikers zijn die slordig zijn met gebruikersnaam & wachtwoord.

Veel bedrijven vinden deze laatste optie een onacceptabel risico (en niet zonder reden!!). Ik kan je dan ook aanraden om tijd te steken in het opzetten van een VPN verbinding. Mocht je toch kiezen voor het openzetten van de TS-poort. Bespreek het met het management van het bedrijf, dat voorkomt dat jij achteraf allerlei gezeik krijgt. Indien men nu instemt met het risico van een open TS-poort dan heb jij jouw plicht gedaan en kan men jou achteraf niet meer aansprakelijk stellen.

- Het blijft wel zo dat iedereen met een geldige Terminal service cliëntlicentie toegang tot jouw server heeft. Men hoeft dus alleen het IP-adres en de gebruikte poort te achterhalen. Vervolgens krijgt men het inlogscherm van jouw server te zien. Het is dan slechts te hopen dat er geen gebruikers zijn die slordig zijn met gebruikersnaam & wachtwoord.

een firewall met IP restricties op deze specifieke poort lost dat probleem in zijn geheel op.

Gewoon jouw IP en een backup IP (voor het geval jouw IP veranderd of je verbinding dood is) erin zetten en aangeven dat toegang tot de TS poort enkelt vanaf die IP's is toegestaan.

Ik zou toch kiezen voor een VPN-verbinding met ip-restricties. Heb je maximale veiligheid en controle + dat je met VPN ook meer mogelijkheden hebt. Bijvoorbeeld
bestanden overhalen.

Een mooie oplossing om dit goed te beveiligen is de local logon op die servers met een hardware sleutel te beveiligen. (Bijv. RSA SecurID)

Even wachten tot ca feb 2004 dan komt Service Pack 1 uit met daarin SSL voor TS connecties!

jwpmzijl schreef op 22 december 2003 @ 05:07:- Het blijft wel zo dat iedereen met een geldige Terminal service cliëntlicentie toegang tot jouw server heeft. Men hoeft dus alleen het IP-adres en de gebruikte poort te achterhalen. Vervolgens krijgt men het inlogscherm van jouw server te zien. Het is dan slechts te hopen dat er geen gebruikers zijn die slordig zijn met gebruikersnaam & wachtwoord.

Als je de remote beheer optie gebruikt mogen alleen administrators inloggen, het is te hopen dat 'gebruikers' daar geen gebruikersnaam en wachtwoord van hebben. )

Als je paranoïde bent, is het volgens mij ook mogenlijk om het admin account te laten locken na X aantal het wachtwoord verkeerd invoeren. Je kan het na een bepaalde periode automatisch weer laten unlocken zodat je er zelf toch nog bij kan.

Milo schreef op 22 december 2003 @ 15:01:
[...]
Als je paranoïde bent, is het volgens mij ook mogenlijk om het admin account te laten locken na X aantal het wachtwoord verkeerd invoeren. Je kan het na een bepaalde periode automatisch weer laten unlocken zodat je er zelf toch nog bij kan.

dat is alsnog niet verstandig, een brute force hackpoging is namelijk dan nogsteeds mogelijk. Met IP restricties is dat enkelt nog maar mogelijk vanaf IP's welke toegang hebben tot de poorten en daarmee de terminal service.

Ik zou toch kiezen voor een VPN-verbinding met ip-restricties. Heb je maximale veiligheid en controle + dat je met VPN ook meer mogelijkheden hebt. Bijvoorbeeld
bestanden overhalen.

mee eens, maar als je enkelt de terminal service gebruikt, zoals hierboven wordt gesuggereerd, dan is het onzin om zoveel extra werkt te doen zonder daar enige winst van te hebben. De VPN verbinding heeft namelijk geen winst omdat de verbinding van Terminal service al encrypted is.

Death J, VPN doet meer dan alleen encrypten!!!

Andere poort, ander protocol en over deze beveiligde lijn zet je vervolgens een RDP connectie op.
Veel veiliger en vrijwel onbreekbaar.

de 128 bit encryptie stelt niet echt veel voor als je werkelijk wilt inbreken in een sessie. Daarnaast zit er een handshake deel waarin de server de RDP connectie opzet en kijkt naar welke encryptie en nodig is. In die sessie loopt ook je wachtwoord mee. Kortom, 128bit RDP is redelijk veilig maar absoluut niet te vergelijken met een VPN verbinding.

Dis nogmaals wacht tot sp1 uit is en maak gebruik van de ssl verbinding plus de 128 bit encryptie.
Of gebruik nu een VPN.

Zolas altijd is veiligheid afhankelijk van wat je wilt beveiligen en tegen welke kosten.

aanvulling: Ik gebruik ook bij één klant een RDP connectie, maar daar heb ik het zo ingericht dat ik alleen vanaf mijn eigen ip erbij kan. Dat lijkt mij redelijk veilig ?

Mate en zinnigheid van security dient m.i. ook af te hangen van de informatie waarde danwel schade bij malversaties. Oftewel doe eerst een gegevens classificatie en een risico analyse.

Beveiligen van een server met daarop de authorisatie codes van Zwitserse nummerrekeningen (ver)dient een andere andere aanpak dan de voorraad adminisratie van een gemiddeld MKB'er.

Wanneer je RDP doet over een IpSec-VPN (evt. aparte server & beheer) is er echt weinig te vrezen. Natuurlijk valt en staat elke beveiliging bij een goed huisvaderschap van (regelmatig gewijzigde) sleutels.

Veder moet je bij beveiliging naar het hele plaatje kijken. Een super deluxe SSL over IpSec-VPN met dynamische tokens is echt zinloos wanneer de betreffende server in het buurthuis staat om games te spelen.

Zelf heb ik ook zo'n discussie gehad met een middenstander die inbellen op z'n doosje zeer onveilig vond. Toen ik hem vroeg hoe hij z'n bankzaken deed werd het stil en begreep hij me wat beter.

Je kunt al bepaalde zaken op goedkope manier afvangen.

Rename administrator account naar ander account.
Beperk het aantal users dat mag inloggen als RDC client.
Verander het poort nummer waarmee je inlogt. De standaard 3389 port wordt veel gescanned..
Log niet in als Administrator op die machine.. dat account locked namelijk niet uit.
Zet als password policy na 3 retries 15 minuten wachten tot deze unlocked.. voorkomt het gebruik van brute force programma's
Zet audit aan op die machine.

^ Zo moet het idd

Ook ff auditing op failure aanzetten zodat je kan zien wie er allemaal verbinding probeert te maken met die bak en het niet lukt.
Ik tik users nog weleens op de vingers als ze wachtwoorden proberen te raden maar via internet gebruikers gaat dat nogal moeilijk
Administrator renamen is het belangrijkste want die probeert iedereen te raden zie ik altijd in mn event viewer...

inbellen dmv vpn, en rdp alleen op je vpn pool toestaan...

Verwijderd schreef op 22 december 2003 @ 21:24:
[...]


dat is alsnog niet verstandig, een brute force hackpoging is namelijk dan nogsteeds mogelijk. Met IP restricties is dat enkelt nog maar mogelijk vanaf IP's welke toegang hebben tot de poorten en daarmee de terminal service.

mogelijk ja, zinvol nee... een lockout die opheft na 1 minuut na 5 foutieve inlogpogingen laat je brute force vele malen langer duren... tijd genoeg om te zien dat iemand aan het kloten is...

mee eens, maar als je enkelt de terminal service gebruikt, zoals hierboven wordt gesuggereerd, dan is het onzin om zoveel extra werkt te doen zonder daar enige winst van te hebben. De VPN verbinding heeft namelijk geen winst omdat de verbinding van Terminal service al encrypted is.

ts werkt sneller door een vpn en tevens kan je zoals al gezegd nog bestanden kopieren enzo... vpn is wel een extra risico daardoor (je introduceert een nieuwe pc op het netwerk...)

StevenK schreef op 23 december 2003 @ 08:21:
aanvulling: Ik gebruik ook bij één klant een RDP connectie, maar daar heb ik het zo ingericht dat ik alleen vanaf mijn eigen ip erbij kan. Dat lijkt mij redelijk veilig ?

spoofing is dan nogsteeds mogenlijk.

Verwijderd schreef op 29 december 2003 @ 14:02:
[...]


spoofing is dan nogsteeds mogenlijk.

Spoofing werkt maar 1 kant op. Het kan een connectie proberen te maken maar omdat 't verkeer niet terug kan bereik je er niks mee.

Dat gaat dus niet werken op die manier.

Verwijderd schreef op 22 december 2003 @ 21:24:
[...]


dat is alsnog niet verstandig, een brute force hackpoging is namelijk dan nogsteeds mogelijk. Met IP restricties is dat enkelt nog maar mogelijk vanaf IP's welke toegang hebben tot de poorten en daarmee de terminal service.


[...]


mee eens, maar als je enkelt de terminal service gebruikt, zoals hierboven wordt gesuggereerd, dan is het onzin om zoveel extra werkt te doen zonder daar enige winst van te hebben. De VPN verbinding heeft namelijk geen winst omdat de verbinding van Terminal service al encrypted is.

Ik gebruik RDP over VPN, de rest van de poorten dicht met de firewall, die alleen RDP toelaat vanaf bepaalde IP adressen, gebruikers zijn locked out na 3 foute pogingen en goede wachtwoord voorwaarden. De hele configuratie van VPN met alle beveiliging hoeft niet meer dan een uurtje of twee te kosten, en je slaapt een stuk beter.