Hallo zusammen, Bernd Kohler <kohler@itc.rwth-aachen.de> writes:
Cert-Bund:
"Es wird empfohlen, den Zugriff auf RDP-Dienste auf vertrauenswürdige Quell-IPs zu beschränken oder über ein VPN abzusichern."
Um mal aus dem ersten Tweet zu zitieren:
Seit heute informiert CERT-Bund Provider über offen aus dem Internet erreichbare RDP-Dienste. Über schlecht gesichterte RDP-Zugänge wurde zuletzt zunehmend #Ransomware wie #GandCrab oder #SamSam installiert […]
Über schlecht gesicherte (triviale Passwörter und so) brauchen wir wohl nicht reden. Aber müsste es Windows nicht auch erlauben, RDP sicher zu konfigurieren? Da wird ja immerhin SSL benutzt, da bekommt man doch sicher auch ein entsprechend CA-signiertes Zertifikat rein. Dann hängt es nur noch an den sicheren Passwörtern. Ich meine, gegen SSH weltweit offen hat ja niemand etwas einzuwenden. Dass das Cisco-VPN mit IKEv1 und XAuth sicher sein soll, will mir jetzt hoffentlich niemand erklären. Aus der Erklärung, die das CERT verlinkt hat[a]:
Misconfigured RDP can allow miscreants access to the desktop of a vulnerable host and can also allow for information-gathering on a target host, as the SSL certificate used by RDP often contains the system’s trivial hostname.
Was bitte ist denn “trivial hostname”? Eigentlich gehe ich davon aus, dass auch im Rest der RWTH das Internet in Ordnung ist und jeder Host eine ordentlich eingetragene IP-Adresse hat – unser (AStA) Windows-RDP-Host hält sich selbst für wints.asta.rwth-aachen.de und ist das auch im öffentlichen DNS mit einer nicht-RFC1918-Adresse [b]. --Thomas [a]: https://www.shadowserver.org/what-we-do/network-reporting/accessible-rdp-rep... [b]: und dass der öffentlich (auch RWTH-intern) nicht erreichbar ist, liegt hier an der seltsamen Lizensierung von Microsoft -- Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen Thomas Schneider Campus Mitte: Augustinerbach 2a, 52062 Aachen Telefon: +49 241 80 94506 Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen Telefon: +49 241 80 26741 https://www.fsmpi.rwth-aachen.de