Hi, Am 10.05.19 um 14:44 schrieb Thomas Schneider:
Bernd Kohler <kohler@itc.rwth-aachen.de> writes:
Cert-Bund:
"Es wird empfohlen, den Zugriff auf RDP-Dienste auf vertrauenswürdige Quell-IPs zu beschränken oder über ein VPN abzusichern."
das ist etwas, was ich auch genauso hier schon empfohlen habe. VPN schaltet in jedem Fall eine Authentifizierungsinstanz davor und bewahrt einen auch davor, bzgl. seiner Verbindungsprofile beobachtet zu werden. Einschränkung auf deutlich weniger IPs als 2^32 hilft sicher auch.
Um mal aus dem ersten Tweet zu zitieren:
Seit heute informiert CERT-Bund Provider über offen aus dem Internet erreichbare RDP-Dienste. Über schlecht gesichterte RDP-Zugänge wurde zuletzt zunehmend #Ransomware wie #GandCrab oder #SamSam installiert […]
Über schlecht gesicherte (triviale Passwörter und so) brauchen wir wohl nicht reden.
Äh doch. Nicht mehr so viel und so häufig wie früher, aber es kommt eben leider immer mal wieder vor. Solange wir Passworte nutzen, muss man auch darüber reden.
Aber müsste es Windows nicht auch erlauben, RDP sicher zu konfigurieren? Da wird ja immerhin SSL benutzt, da bekommt man doch sicher auch ein entsprechend CA-signiertes Zertifikat rein. Dann hängt es nur noch an den sicheren Passwörtern.
Das ist aber nun mal derzeit nicht so. Das eigentliche Problem bei RDP heisst aber Logging. Erstmal muss man ein Windows überhaupt konfigurieren, dass es fehlerhafte Logins loggt. Und dann macht das Logs angucken unter Windows ja auch richtig Spaß, oder? Und sieht man dann die IP, von der der fehlerhafte Login kam? (es kommt auf das Windows an - bei manchen ja, bei anderen nicht).
Ich meine, gegen SSH weltweit offen hat ja niemand etwas einzuwenden.
Hm. Hängt vom System und der Nutzerschaft ab. Aber *muss* es immer weltweit sein? Inklusive Antarktis? ;-)
Dass das Cisco-VPN mit IKEv1 und XAuth sicher sein soll, will mir jetzt hoffentlich niemand erklären.
Nicht ideal, aber auch nicht in der Schußlinie. Im Gegensatz zu RDP, bei dem mittlerweile in gleichem Umfang wie bei SSH per brute force angegriffen wird. Aber was man nicht weiß, macht ja auch nicht heiß. S. den Abschnitt oben zum Logging.
Aus der Erklärung, die das CERT verlinkt hat[a]:
Misconfigured RDP can allow miscreants access to the desktop of a vulnerable host and can also allow for information-gathering on a target host, as the SSL certificate used by RDP often contains the system’s trivial hostname.
Was bitte ist denn “trivial hostname”? Eigentlich gehe ich davon aus, dass auch im Rest der RWTH das Internet in Ordnung ist und jeder Host eine ordentlich eingetragene IP-Adresse hat – unser (AStA) Windows-RDP-Host hält sich selbst für wints.asta.rwth-aachen.de und ist das auch im öffentlichen DNS mit einer nicht-RFC1918-Adresse [b].
Jaja, das war Geblubber, geschenkt. Zusammenfassend: Reduktion der Angriffsfläche und Beschränkung des Zugriffsraums sind valide und stark unterstützende Teile einer Sicherheitsstrategie. Gruß, Jens Hektor