[win 2k3] RDP veilig?

Je kunt beter een VPN verbinding opbouwen en daarover heen de Remote connectie tot stand brengen.

pinolief schreef op 08 juli 2004 @ 12:04:
Je kunt beter een VPN verbinding opbouwen en daarover heen de Remote connectie tot stand brengen.

en waarom ? RDP is even hard beveiligd als je wilt; in dat opzicht is het niet onveiliger dan een SSH open zetten naar een linux-server.

Zorg er wel voor dat je bijvoorbeeld een login attempt timeout policy erop zet - na 3x proberen 2 minuten wachten bijvoorbeeld, en na elke attempt 20 seconden. Dat voorkomt bruteforcen. Daarnaast kun je je administrator-login renamen (administrator kun je niet op een normale wijze verwijderen - en terecht) zodat mensen niet met die gebruikersnaam kunnen gaan bruteforcen. Ook kun je om het helemaal lollig te maken, je RDP-poort wijzigen in 22; mensen die de std rdp-poort aanspreken krijgen geen thuis, en mensen die met SSH denken te connecten krijgen ook een bak zooi waar ze niks mee kunnen. Maar goed, dat zijn allemaal obfuscation-geintjes die feitelijk niks echt veiliger maken, alleen lastiger.

[ Voor 52% gewijzigd door HunterPro op 08-07-2004 12:09 ]

Ik zou ook voor een VPN constructie gaan. VPN opbouwen en een RDP sessie er over heen.

Ik zou nooit, maar dan ook nooit zomaar poort 3389 opengooien voor beheer op afstand.

Professional Networking & Servers -> Beveiliging & Virussen

Tonnetje schreef op 08 juli 2004 @ 12:19:
Ik zou ook voor een VPN constructie gaan. VPN opbouwen en een RDP sessie er over heen.

Ik zou nooit, maar dan ook nooit zomaar poort 3389 opengooien voor beheer op afstand.

maar waaróm dan niet

Tonnetje schreef op 08 juli 2004 @ 12:19:
Ik zou ook voor een VPN constructie gaan. VPN opbouwen en een RDP sessie er over heen.

Ik zou nooit, maar dan ook nooit zomaar poort 3389 opengooien voor beheer op afstand.

En dan weer de vraag, waar TS ook zo ongeveer mee start:
WAAROM??

Het klinkt namelijk alsof je er een goede reden voor hebt, maar ook ik zou die dan wel graag willen weten.

Je kunt als je een draytek router hebt je port redirecten naar bijv 65321.
Dit kun je ook doen in het register. Wijzig daar je RDP poort in bijv 63123 en niemand komt er zomaar achter dat je daar RDP achter hebt draaien.

Ik zelf zou ook niet zomaar 3389 openzetten omdat het gewoon bekend is dat dat de RDP poort is. 1 poortscan en je zou 3389 vinden dan weet jij 99% zeker dat het RDP is.

Wijzig gewoon de poort in het register in een poort die jij leuk vind maar wel onder de 65500, dan moet het gewoon kunnen en met de tips hierboven zoals administrator hernoemen en goed wachtwoord erbij. Knappuh jonguh die daar zonder moeite in komt.

[ Voor 52% gewijzigd door Verwijderd op 08-07-2004 13:17 ]

Verwijderd schreef op 08 juli 2004 @ 13:14:

Ik zelf zou ook niet zomaar 3389 openzetten omdat het gewoon bekend is dat dat de RDP poort is. 1 poortscan en je zou 3389 vinden dan weet jij 99% zeker dat het RDP is.

Dus volgens jou mag RDP wel "gewoon" aan het net, alleen dan op een ander poortje...

Dan zou er wat jou betreft dus geen veiligheidsprobleem zijn, "ze" mogen enkel niet weten dat jij RDP draait.......

Verwijderd schreef op 08 juli 2004 @ 13:14:
Je kunt als je een draytek router hebt je port redirecten naar bijv 65321.
Dit kun je ook doen in het register. Wijzig daar je RDP poort in bijv 63123 en niemand komt er zomaar achter dat je daar RDP achter hebt draaien.

Ik zelf zou ook niet zomaar 3389 openzetten omdat het gewoon bekend is dat dat de RDP poort is. 1 poortscan en je zou 3389 vinden dan weet jij 99% zeker dat het RDP is.

Wijzig gewoon de poort in het register in een poort die jij leuk vind maar wel onder de 65500, dan moet het gewoon kunnen en met de tips hierboven zoals administrator hernoemen en goed wachtwoord erbij. Knappuh jonguh die daar zonder moeite in komt.

waarom zou je dan wel een SSH openzetten op een standaard poort? Omdat dat geen grafische login is oid

Mensen zijn snel bang van RDP, maar het is gewoon een prima systeem wat even (on)veilig is als andere remote administration systemen. Je kan er nog was laagjes bovenop leggen zoals een VPN en andere IPSec oplossingen, maar in principe is dat niet nodig indien er voor lange wachtwoorden, goede policies en een grote sleutel voor RDP wordt gekozen.

Leuk voorbeeld: ik heb een deurbel en een brievenbus. Die zie je zitten. Betekent dat dat je makkelijker bij mij inbreekt?

[ Voor 5% gewijzigd door HunterPro op 08-07-2004 13:32 ]

Sinds elke idioot nmap ontdekt heeft, en nmap de -sV scanoptie heeft gekregen, is het openzetten van services op andere poorten een beetje nutteloos geworden, aangezien nmap onmiddelijk ziet welke service het is, ook al draait hij niet op de standaard poort.

Op welke poort een service draait, is irrelevant _Borg.
Dat beveilig je met strong passwords en lockout-tijden, zoals al eerder genoemd is.

En als je het routeerd/NAT kan je het nog tcpwrappen/firewallen ook

_{Kan RDP wel op een andere poort draaien Nee heb niet gezocht}

[ Voor 14% gewijzigd door 0xDEADBEEF op 08-07-2004 14:36 ]

0xDEADBEEF schreef op 08 juli 2004 @ 14:35:
Op welke poort een service draait, is irrelevant _Borg.
Dat beveilig je met strong passwords en lockout-tijden, zoals al eerder genoemd is.

En als je het routeerd/NAT kan je het nog tcpwrappen/firewallen ook

_{Kan RDP wel op een andere poort draaien Nee heb niet gezocht}

ja dat kan (:

Verwijderd schreef op 08 juli 2004 @ 13:44:
Sinds elke idioot nmap ontdekt heeft, en nmap de -sV scanoptie heeft gekregen, is het openzetten van services op andere poorten een beetje nutteloos geworden, aangezien nmap onmiddelijk ziet welke service het is, ook al draait hij niet op de standaard poort.

Niet helemaal true. Nutteloos zou ik niet direct zeggen.
Het gebeurt namelijk al te vaak dat FXP kids ranges scannen op een bepaalde poort/vulnerability of voor het bruteforcen op basis van gegevens die zijn verkregen met null sessions.

Wanneer je services op andere poorten gaat draaien is het dus mogelijk om veel van die standaard attacks te omzeilen. Wanneer een bak speciaal getarget wordt is het een ander verhaal. Maar 99 van de 100 gecrackte/hackte boxes is slacktoffer van een scriptkid die op basis van scans opereert.

ja dat kan (:

En wel hier te vinden:

Listening port:
http://support.microsoft....aspx?scid=kb;en-us;306759

Client port:
http://support.microsoft.com/default.aspx?kbid=304304

Ok misschien in Regedit wijzigen zal dan niet zo goeie oplossing zijn.
Maar port redirection op de draytek kun je hem wel op een andere port zetten. Zodat outside 65432 is en inside is het 3389.

Dan kun je scannen wat je wilt maar je weet niet wat voor service draait op 65432.

Niet veilig? Tja, zodra je een computer uberhaupt aan een netwerk hangt ben je al niet meer 100% veilig (daar doet SSH, VPN etc. helemaal niks aan). Waarom zou het niet veilig genoeg zijn? De gegevens stroom van RDP is ook gecodeerd. Daarnaast zijn er nog tal van opties die je zelf kunt doen (en ook niet zo veel werk zijn) om het geheel iets veiliger te maken. Zoals:

1) Via Group Policy Editor (Start -> Run -> gpedit.msc) kun je het een en ander instellen m.b.t. Terminal Services. Zo kun je bijvoorbeeld zelf aangeven welke accounts zich mogen aanmelden op de Terminal Service (maak hier dan zeker niet het standaard Administrator account van. Maak een account aan voor remote beheer met eventueel beperkende rechten), hoeveel verbindingen er mogen zijn en de time-outs instellen om zo te voorkomen dat er inderdaad snel achter elkaar geprobeerd wordt in te loggen etc. etc.
2) Disable het standaard Administrator account
3) Zet de Terminal Service op een andere poort (of laat het op de standaard poort en redirect het via je router naar de standaardpoort)
4) Via regels in je firewall aangeven welke IP-adressen contact mogen zoeken met de service of computer achter de ingestelde poort

Overigens: hernoemen van het standaard Administrator account heeft geen zin. Het heeft namelijk een bekend SID (moet in de oren van Win32 systeem programmeurs bekend in de oren klinken).

Voor vrijwel iedere maatregel die je neemt ter beveiliging, is er weer een tegenhanger die het op de een of andere manier kan omzeilen. Zij het via bugs in het OS of gebruikte componenten, of via trojan-horses etc. Zo werkt het gewoon. Het is dan ook binnen een netwerk vrijwel onmogelijk om compleet dicht te zitten (maak het intruders juist ontzettend lastig!). Daarom dient men meerdere lagen van beveiliging in te stellen, zoals: NAT-routers, policies, gecodeerde gegevens-transmissies (VPN, SSH etc.), firewall, security-subsystem (Administrator, Power-User, User, Guest etc.), anti-virus, gebruik sterke wachtwoorden, zorg dat de computers/personen die gebruik moeten maken van bepaalde resources niet meer kunnen als dat nodig is etc. etc. Het verstandigst is het dan ook altijd te beginnen met een systeem waarin niemand (behalve de beheerder) iets kan of mag. Dan langzaam wat meer rechten/mogelijkheden vrij gegeven indien dat nodig is.

Indien een intruder te veel werk moet doen om binnen te komen, wordt het al snel niet interessant meer (tenzij hij/zij zeker weet dat er iets te halen valt).

[ Voor 14% gewijzigd door Primal op 09-07-2004 20:11 ]

Primal schreef op 09 juli 2004 @ 20:03:
Overigens: hernoemen van het standaard Administrator account heeft geen zin. Het heeft namelijk een bekend SID (moet in de oren van Win32 systeem programmeurs bekend in de oren klinken).

user <-> sid translatie is inderdaad mogelijk, echter als je de juiste poorten dicht hebt (smb) dan is het remote verkrijgen van een username a.d.h.v een sid voor zover ik weet niet mogelijk. Staat SMB open, dan kan het wel lukken. Dus in sommige gevallen kan het wel degelijk zin hebben.

Heeft iemand hier uberhaupt voorbeelden van rdp hacks of cracks ?

ehm, bruteforce is een optie, en in combinatie met andere trucs is het erg handig om eerst een service te exploiten wat vaak een local administrator op de prompt geeft, je voegt een gebruiker toe, en dan kun je met rdp met die gebruiker het systeem in en gaan klooien. Meestal is dan de eerste actie een andere poort opengooien in een non-standaard bereik en daar een custom remote administration tool (vnc, radmin etc) op te gooien. Derhalve kan je gebruiker (die je net had aangemaakt) desnoods geblocked worden voor TS login - radmin en vnc doen alsof je op de machine zelf aanlogt middels een keyboard en display. Vervolgens kan de persoon ongezien - zolang hij geen rare traffic en/of systeemload (afhankelijk van hoe oplettend de sysop is) iets spannends met de server gaan uithalen. Dat kan het stelen van bestanden zijn - bijvoorbeeld een database met mailadressen, maar bijvoorbeeld ook het opzetten van een massmailer/spammer, ddos-drone, ftp-server, of een combinatie daarvan. Alleen al deze dingen vallen bij een enigszins oplettende sysop (of met goeie loganalyzing-software) direct op zodra ze gebruikt worden, en kunnen dus behoorlijk vroegtijdig verwijderd worden. Meer pech heb je als er bijvoorbeeld een x aantal machines binnen een groot netwerk wat sowieso al veel traffic doet worden gehacked. Dan valt eventuele meertraffic niet op, en kunnen die jojo's dus hun gang gaan. Daarom is het belangrijk om, des te groter je onderneming qua hardware wordt, ook mee te groeien in systeembeheer en monitoring-trucs. Daarnaast uiteraard nooit windows update vergeten

HunterPro schreef op 08 juli 2004 @ 13:10:
[...]

maar waaróm dan niet

Die vraag kan bijna niemand goed beantwoorden. Ja je kan het RDP protocol hacken en ja je kan hierdoor toegang krijgen op de PC. Maar het gebreurd zelden.

Ik heb zelf thuis al tijden poort 3389 veranderd naar 8080 (die laat de firewall op mijn werk wel door en 3389 niet) en ik krijg nooit RDP aanvallen op poort 8080. Mijn IDS ziet alles wat er binnen komt en ik zie alleen maar proxy aanvallen en die vallen ter plekke dood in mijn netwerk. Het is dus een simpel truukje om 90% van de RDP problemen af te vangen.

Nadeel van de poort change is dat de TSAC-WebClient niet mee werkt. Deze kan alleen maar met poort 3389 omgaan.

Tevens kun je op W2K3 nog wat andere security settings aan zetten zoals de al genoemde policies en hoge encryptie gebruiken. Misschien een firewall er tussen die alleen bepaalde IP-adressen toelaten op de RDP poort.

Verwijderd schreef op 08 juli 2004 @ 13:44:
Sinds elke idioot nmap ontdekt heeft, en nmap de -sV scanoptie heeft gekregen, is het openzetten van services op andere poorten een beetje nutteloos geworden, aangezien nmap onmiddelijk ziet welke service het is, ook al draait hij niet op de standaard poort.

Maar de meeste mensen die RDP gebruiken hebben geen NMAP omdat ze op Windows draaien. en NMAP voor windows sucks. NMAP voor Windows kan niet eens goed een UDP scan uitvoeren.

Even wat exploits: (windwos 2000 en 2003)
http://www.securityfocus.com/bid/7258
http://www.securityfocus.com/bid/3445
http://www.securityfocus.com/bid/5712
http://www.securityfocus.com/bid/5711
http://www.securityfocus.com/bid/2326

Voor sommige exploits zijn al oplossingen geleverd door MS.

Ook nog even gekeken voor VNC exploits. Hier zijn er ook een aantal van. Dus OOK VNC is niet veilig.


Maar eigenlijk denken de meest mensen. "RPD is van Microsoft en microsoft KAN geen veilige software maken." Helaas is dat een achterhaald idee. Probeer maar eens een Windows 2003 server te hacken. Dat is echt niet zo simpel meer als in de NT 4 tijd.

[ Voor 50% gewijzigd door bolke op 10-07-2004 15:22 ]

bolke schreef op 10 juli 2004 @ 15:00:
Nadeel van de poort change is dat de TSAC-WebClient niet mee werkt. Deze kan alleen maar met poort 3389 omgaan.

How to Change the Listening Port in the Windows Terminal Server Web Client (Trouwens niet geprobeerd).

En VNC zou ik inderdaad niet zomaar gebruiken, liever ook het dataverkeer encrypted: http://www.uk.research.att.com/archive/vnc/sshvnc.html

F_J_K schreef op 10 juli 2004 @ 15:33:
[...]

How to Change the Listening Port in the Windows Terminal Server Web Client (Trouwens niet geprobeerd).

...KNIP...

Ik ga het proberen. Misschien werkt hte goed.