Gjest Sletttet+98134 Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 sk0yern skrev (6 timer siden): Stikkordet er "trusselmodell" James Mickens beskriver det godt: Den største trusselen for rdp-tilgangen for elektrikerfirmat er typisk script kiddies som scanner etter rdp-servere som ikke er patchet, eller har enkle passord. Dersom man har et godt passord, og gode patcherutiner, så er denne risikoen trolig såpass lav at de kan leve godt med det. ...sett borti fra kjente og ukjente usikkerheter, selvfølgelig. Synes fremgangsmåten din er snodig, jeg mener å bevisst la en bakdør stå på gløtt bare fordi det er kortere å gå enn hovedinngangen er en dårlig innstilling, uavhengig om du er et elektrikerfirma eller en privatperson. At du personlig ikke har blitt (vellykket, som du vet om) angrepet via rdp før er et dårlig argument. Hvor lav eller høy risikoen er blir kun ren synsing. Vil noen inn hos deg gjør du jobben lettere ved å eksponere systemer og protokoller mot internett. Lenke til kommentar
sk0yern Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 Fleskefjeset skrev (30 minutter siden): ...sett borti fra kjente og ukjente usikkerheter, selvfølgelig. Synes fremgangsmåten din er snodig, jeg mener å bevisst la en bakdør stå på gløtt bare fordi det er kortere å gå enn hovedinngangen er en dårlig innstilling, uavhengig om du er et elektrikerfirma eller en privatperson. At du personlig ikke har blitt (vellykket, som du vet om) angrepet via rdp før er et dårlig argument. Hvor lav eller høy risikoen er blir kun ren synsing. Vil noen inn hos deg gjør du jobben lettere ved å eksponere systemer og protokoller mot internett. Så hva mener du egentlig OP bør gjøre? Reise fysisk hjem til maskinen i stedet for å bruke RDP? Lenke til kommentar
NoTrace Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 Kan legge til at det tar i gjennomsnitt over 200 dager før et cyber attack blir oppdaget. Så det at man ikke har blitt hacket så langt, bør omformuleres til at man ikke har oppdaget at man er blitt hacket så langt. https://www.itgovernanceusa.com/blog/how-long-does-it-take-to-detect-a-cyber-attack 1 Lenke til kommentar
Gjest Sletttet+98134 Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 (endret) sk0yern skrev (3 timer siden): Så hva mener du egentlig OP bør gjøre? Reise fysisk hjem til maskinen i stedet for å bruke RDP? VPN eller andre løsninger som ikke eksponerer RDP, noe av det første jeg skrev i tråden? Hvis du tror alternativene er enten RDP /3389 åpent på nett eller å fysisk sitte ved maskinen er de to alternativene som finnes bør du undersøke litt bedre. Undersøke potensielle konsekvenser bør du også gjøre før du åpner for 3389 for hele verden. Endret 15. mai 2020 av Sletttet+98134 Lenke til kommentar
sk0yern Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 Fleskefjeset skrev (22 minutter siden): VPN eller andre løsninger som ikke eksponerer RDP, noe av det første jeg skrev i tråden? Hvis du tror alternativene er enten RDP /3389 åpent på nett eller å fysisk sitte ved maskinen er de to alternativene som finnes bør du undersøke litt bedre. Undersøke potensielle konsekvenser bør du også gjøre før du åpner for 3389 for hele verden. Hvilke riskoer gjør du mindre ved å sette en vpn-gateway foran rdp-serveren til OP? Lenke til kommentar
NoTrace Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 Da må en angriper både komme seg inn på VPNet, OG komme seg inn på RDP. To lag med sikkerhet. 2 Lenke til kommentar
sk0yern Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 Verdt å merke seg at ved å sette opp en vpn-gateway, også får enda en dings som må patches. https://www.ncsc.gov.uk/news/alert-vpn-vulnerabilities Store firmaer gikk på kjempestore problemer her: https://www.darkreading.com/attacks-breaches/widely-known-flaw-in-pulse-secure-vpn-being-used-in-ransomware-attacks/d/d-id/1336729 Det er viktig å huske på at en vpn-gateway eller "andre løsninger", også er software som kan ha problemer. Jeg står ved at en windows boks som eksponerer rdp mot internett, er trygg for folk flest så lenge den patches i rimelig tid etter at patcher kommer, og man bruker gode passord. Lenke til kommentar
frohmage Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 sk0yern skrev (9 minutter siden): Jeg står ved at en windows boks som eksponerer rdp mot internett, er trygg for folk flest så lenge den patches i rimelig tid etter at patcher kommer, og man bruker gode passord. Det har vært min oppfatning også, men blir usikker etter alle motforestillingene som fremlegges i tråden her. Finnes det eventuelt noen gode alternativer som er "tryggere" uten at de er et h*lvete å sette opp og bruke? 1 Lenke til kommentar
tommyb Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 5 hours ago, sk0yern said: Ikke sant. Hvor mange exploits var det i sirkulasjon før den 14. januar, som utnyttet denne sårbarheten? Det vet jeg ikke, sikkert færre enn da de var under aktivt angrep på en tidligere CVE de ikke hadde gidda å patche i juni samme år. Men jeg leder oppmerksomheten din tilbake til det jeg skrev etter 'Men eksemplet i seg selv er ikke det du trenger bruke som beslutningsgrunnlag.' Det var altså 80 eksempler å ta fra på RDP-protokollen. Du har lov til å ha din mening om at en over gjennomsnittet risikabelt løsning er god nok for dine kunder, men objektivt sett sier måledata for sårbarheter at dette ikke er sånn det anbefales å gjøres, og jammen sier sikkerhetsteori det også. Hvis du velger en VPN som har like mange sårbarheter som RDP har du også et problem men selv da har du innført ett lag ekstra sikkerhet. Risikoen for at begge har upatchede sårbarheter samtidig er mye mindre, og angrep som må hacke flere lag er langt mer uvanlig enn de som kan ta et single point of attack, appåtil på det mest utbredte målet som samtidig har de minst sikkerhetskyndige brukerne. Et skikkelig point of interest, om ikke like saftig frukt som IoT-enhetene er i ferd med å bli. Lenke til kommentar
tommyb Skrevet 15. mai 2020 Del Skrevet 15. mai 2020 Det å sette opp en VPN i ruteren man uansett har er ikke spesielt mye mer pes enn å sette opp port forwarding. Jeg ville begynt med å se på hva man allerede bruker/har av dingser. Så har jeg full forståelse for at det er en dørstokkmil her. Det har jeg også, skulle ha gjort det selv. Og hvis man i utgangspunktet kun bruker ISPens (dårlige) ruter, har man jo en ekstra jobb utover oppsettet av VPN. Mange rutere kan også begrense hvilke IPer som slipper inn til port forwarding. Enten i ruterens brannmur eller rett i NAT-reglene. Da har man et ekstra ledd til og med uten VPN. Men det hadde jo ikke trådstarter, derfor alle rådene om å få på plass en VPN. Lenke til kommentar
Gjest Slettet+6132 Skrevet 16. mai 2020 Del Skrevet 16. mai 2020 7 hours ago, sk0yern said: Så hva mener du egentlig OP bør gjøre? Reise fysisk hjem til maskinen i stedet for å bruke RDP? Sette opp RDP på en sikker måte. RDP er kun "sikker" dersom den kjører under VPN eller SSH. Kan man ikke sette det opp... så er det lurt å be om hjelp på en høflig måte og ikke gi slike tilsvar som at RDP er sikkert nok.. bare "passord er sikkert"... ? Hint: Det er ikke der problemet rundt RDP ligger.... alle "hacker's" prøver seg på login på de porter de scanner på router.. og som er åpne. Uansett tjeneste som lytter på en port. Sånn sett er det uansett viktig å ha en fw som i størst mulig grad sørger for at router i praksis er "stengt" for det meste fra WAN. Lenke til kommentar
Gjest Sletttet+98134 Skrevet 16. mai 2020 Del Skrevet 16. mai 2020 sk0yern skrev (7 timer siden): Hvilke riskoer gjør du mindre ved å sette en vpn-gateway foran rdp-serveren til OP? Å ha en kjent sårbar protokol pip åpen mot hele verden. Lenke til kommentar
nomore Skrevet 16. mai 2020 Del Skrevet 16. mai 2020 Dette er ikke et spørsmål om enten eller. Det er ikke sånn at enten så må trådstarter åpne RDP ut mot internett eller så må h*n fysisk sitte med datamaskinen. Man er ikke enten 100% trygg eller 100% utrygg. En sårbarhet er ikke enten ukjent og ikke utnyttet eller kjent og patchet. Det er mange ifs and buts oppi dette. Jeg har forståelse for at mange mener at IT-sikkerhet gjør jobben de skal gjøre vanskeligere og mer komplisert. Full forståelse for det. Og jeg får sånne bemerkninger og innvendinger regelmessig, både fra brukere og fra ledelsen. Men hvor lett er det å gjøre jobben dersom en blir hacket og systemene er nede? Hvor lang tid tar det å redde ryktet til selskapet dersom persondata eller annen data blir lekket ut via selskapets systemer? Eller at en ikke kan levere tjenester andre betaler en for? En nettbutikk som lekker persondata? Et regnskapsbyrå som lekker persondata eller regnskapsdata? Enhver bedrift som lekker kundedata? Et børsselskap som lekker kontraktsdetaljer? Normalt sett har selskapene ingen anelse om tap i kroner, tap i ordrenedgang, tap i bøter eller tap i rykte/omdømme. Noen få har det, og de, og kun de, kan ta en kalkulert risiko på ikke følge best practise. Alle andre bør enten betale kostnaden med å få konsulenter som kan det til å sette opp ting skikkelig, eller tape stort. Noe flere gjør - ofte. Og så må man som andre påpeker er ta en realitetsorientering og vurdering. RDP som protokoll har historisk sett et veldig dårlig rykte på seg. Det er oppdaget mange sårbarheter i protokolloen og det er sikkert flere som venter. I tillegg må man og se på hva protokollen gir tilgang til, hva som er hovedformålet. Om det i morgen oppdages en sårbarhet i NTP protokollen så er sannsynligheten stor for at sårbarheten ikke alene gir fjerntilgang til systemet med skrivebord/konsoll. Sårbarheten kan være alvorlig, og gi farlig tilgang til systemet, men sannsynligvis ikke av samme type som RDP gir. For en sårbarhet i RDP protokollen vil sannsynligvis gi nettopp det, fjerntilgang til systemet med skrivebord/konsoll og en lokal bruker. Via en protokoll og en/flere sårbarheter i den protokollen. DERFOR er RDP såpass risikabel, og nettopp derfor er det frarådet og dårlig praksis å gjøre dette. Fordi sannsynligheten er der, og risikoen er høy, og konsekvensen kan være brutal. Men så er det ikke uvanlig å høre at "men dette er kun hjemme" eller "dette er kun til privat bruk". Og det er helt greit. Men klarer man faktisk å skille så mye på privat og jobb som en påstår? Telefonen er vel med på jobb? Sjekker man aldri jobb e-posten fra privat PC? For min erfaring er at den private mobilen man lar ungene laste ned hva som helst av spill på i ferier, ofte kommer tilbake på nettverket på jobb etter ferien - med gudene vet hvilke lugubre informasjonsinnhentere. Og i mange bedrifter rett inn i det vanlige kontornettverket. Enten fordi det ikke blir ansett som viktig å skille ut usikre enheter fra kontornettverket eller fordi det er mulig å logge seg på kontornettverket trådløst. Og ansatte føler det gir raskere nett og mindre problemer enn "gjestenettet" som har styring på hastighet og strenge regler mot internett og internt. Og mange av disse privattelefonene er rene spioner i nettverket og sender alt de får tak i av info tilbake til utvikler. For å ikke snakke om ansatte som laster ned dokumenter og filer på privat pc fordi en "skal bare"... Det er som regel ganske mange godt begrunnede grunner til å IKKE åpne RDP tilgang fra internett. Men det finnes bare to grunner til å gjøre det; latskap eller uvitenhet. Det er helt greit å være uvitende. Det er vi alle til vi ikke er det. Og det forventes heller ikke at alle skal kunne alt. Men latskap? Er ufattelig mange datainnbrudd og informasjonslekasjer som begrunnes i latskap. "Ja jeg vet at RDP ikke burde være åpen inn men jeg skulle bare..." 5 1 Lenke til kommentar
sk0yern Skrevet 16. mai 2020 Del Skrevet 16. mai 2020 Mange gode poenger i innlegget ditt, men jeg minner om at OP snakker om hjemmepc'en sin. OP tar en risiko ved å bruke Chrome. Chrome har ofte sårbarheter, men de fleste enten aksepterer denne risikoen, eller vet ikke om den. Tilsvarende er det med vpn-gatewayer, firewaller, RDP Gateway etc. Dersom OP patcher maskinen sin på patchetirsdager, og har et sterkt passord, er det svært liten sjanse for at noe galt skjer. OP må akseptere at han selvfølgelig utsetter seg for større risiko enn hvis han ikke hadde gjort rdp tilgjenglig fra internett. Akkurat som han gjør ved å surfe fra maskinen sin fra chrome, eller lese mail. Lenke til kommentar
Gjest Sletttet+98134 Skrevet 16. mai 2020 Del Skrevet 16. mai 2020 (endret) sk0yern skrev (17 minutter siden): Mange gode poenger i innlegget ditt, men jeg minner om at OP snakker om hjemmepc'en sin. OP tar en risiko ved å bruke Chrome. Chrome har ofte sårbarheter, men de fleste enten aksepterer denne risikoen, eller vet ikke om den. Tilsvarende er det med vpn-gatewayer, firewaller, RDP Gateway etc. Dersom OP patcher maskinen sin på patchetirsdager, og har et sterkt passord, er det svært liten sjanse for at noe galt skjer. OP må akseptere at han selvfølgelig utsetter seg for større risiko enn hvis han ikke hadde gjort rdp tilgjenglig fra internett. Akkurat som han gjør ved å surfe fra maskinen sin fra chrome, eller lese mail. Sist ukes angrep på mitt hjemmenettverk, ta med i beregningen at de blir automatisk blokket. Jeg hadde ikke stolt på et sterkt passord som eneste skanse i hvert fall. Endret 16. mai 2020 av Sletttet+98134 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå