Nabend,
Jens Hektor hektor@itc.rwth-aachen.de writes:
VPN schaltet in jedem Fall eine Authentifizierungsinstanz davor und bewahrt einen auch davor, bzgl. seiner Verbindungsprofile beobachtet zu werden.
Ich weiß nicht, ich bin da zwiegespalten. Es verführt dazu, nur noch blind auf das VPN zu vertrauen und an den Diensten dahinter weniger aufzupassen. Aber es ist ein weiterer Layer, das stimmt schon.
Einschränkung auf deutlich weniger IPs als 2^32 hilft sicher auch.
2^128, ftfy.
Über schlecht gesicherte (triviale Passwörter und so) brauchen wir wohl nicht reden.
Äh doch. Nicht mehr so viel und so häufig wie früher, aber es kommt eben leider immer mal wieder vor. Solange wir Passworte nutzen, muss man auch darüber reden.
Ich meinte damit, dass schlechte Passwörter einer der obersten Angriffsvektoren sind, und solange man die hat, ist die Mühe bei allem anderen es kaum wert. War etwas unklar ausgedrückt.
Aber müsste es Windows nicht auch erlauben, RDP sicher zu konfigurieren? Da wird ja immerhin SSL benutzt, da bekommt man doch sicher auch ein entsprechend CA-signiertes Zertifikat rein. Dann hängt es nur noch an den sicheren Passwörtern.
Das ist aber nun mal derzeit nicht so.
Was ist nicht so, dass Leute sichere Passwörter vergeben, oder dass Admins „richtige“ SSL-Zertifikate einbinden?
Das eigentliche Problem bei RDP heisst aber Logging. Erstmal muss man ein Windows überhaupt konfigurieren, dass es fehlerhafte Logins loggt.
Jedes Mal, wenn ich Windows eine Chance geben will …
Und dann macht das Logs angucken unter Windows ja auch richtig Spaß, oder? Und sieht man dann die IP, von der der fehlerhafte Login kam? (es kommt auf das Windows an - bei manchen ja, bei anderen nicht).
Hm. Ich habe immer so den Eindruck, dass erfahrene Windows-Admins da schon anständige Sachen machen können. Aber die sind echt selten – ich administriere ja auch so ein paar Büchsen, und ich weiß immerhin schon mal, dass ich da kein Experte bin.
Ich meine, gegen SSH weltweit offen hat ja niemand etwas einzuwenden.
Hm. Hängt vom System und der Nutzerschaft ab. Aber *muss* es immer weltweit sein? Inklusive Antarktis? ;-)
Ach, das sind auch nur Wahrscheinlichkeiten, und du wirst für keinen Netzbereich mit p=1 sagen können, dass sich niemand jemals legitim von dort einloggen wird. Für sowas wie Antarktis kommt man beliebig nahe ran – bis ein Physiker der RWTH an der Forschungsstation dort ist (ja, ich kenne so jemanden).
Abgesehen davon explodieren ja so, gerade bei der Fragmentation von IPv4, die FW-Regeln. Sowohl mit White- als auch Blacklist. Da lass ich es lieber komplett offen und sorge dafür, dass es auf Protokollebene abgesichert ist – nur Key-Login oder zumindest sichere Passwörter, 2FA, fail2ban, etc.
Dass das Cisco-VPN mit IKEv1 und XAuth sicher sein soll, will mir jetzt hoffentlich niemand erklären.
Nicht ideal, aber auch nicht in der Schußlinie.
Dabei wäre es doch ein so lohnendes Ziel. Wenn Gruppen-Credentials bekannt sind (*hust*doc.itc), sind MITM-Attacken ziemlich einfach.
Zusammenfassend:
Reduktion der Angriffsfläche und Beschränkung des Zugriffsraums sind valide und stark unterstützende Teile einer Sicherheitsstrategie.
Joa. Man sollte sich nur nicht darauf ausruhen und sich nicht selbst damit in den Fuß schießen.
--Thomas