Stellen Sie den Remote-Desktop direkt dem Internet zur Verfügung

tag-icon tag-icon security remote-desktop
Stellen Sie den Remote-Desktop direkt dem Internet zur Verfügung

Hinter meinem Router befindet sich ein kleiner Server, auf dem Windows 10 läuft. Durch Ändern der Routerkonfiguration lässt sich ganz einfach ein Remotedesktop direkt mit dem Internet verbinden und der erforderliche Port freigeben.

Frage:Muss ich mir diesbezüglich über Sicherheitsprobleme im Klaren sein? Ich meine, mein Server istmindestensfür jeden zugänglich, der eine gültige Benutzername/Passwort-Kombination kennt.

MS sagt nur

Wenn Sie den Zugriff auf Ihren PC einschränken möchten, erlauben Sie den Zugriff nur mit Network Level Authentication (NLA). Wenn Sie diese Option aktivieren, müssen sich Benutzer beim Netzwerk authentifizieren, bevor sie eine Verbindung zu Ihrem PC herstellen können. Verbindungen nur von Computern zuzulassen, auf denen Remote Desktop mit NLA ausgeführt wird, ist eine sicherere Authentifizierungsmethode, die Ihren Computer vor böswilligen Benutzern und Software schützen kann. Weitere Informationen zu NLA und Remote Desktop finden Sie unter Konfigurieren von NLA für RDS-Verbindungen.

Antwort1

Kein seriöser Netzwerkadministrator würde einen RDP-Server direkt dem Internet zugänglich machen.

Wenn es darin Schwachstellen/Hintertüren gibt, ist das Spiel nicht nur für einen Teil des Systems aus (z. B. einen Wendepunkt/eine Sprungbox), sondern es bietet sich auch die Möglichkeit für DoS-Angriffe und das Fingerprinting von Desktops im LAN, wodurch unnötige Informationen preisgegeben werden.

Abhängig vom RDP-Server und -Client kann es auch möglich sein, einen MITM-Angriff (Man-in-the-Middle) durchzuführen. Dies kann auf verschiedene Weise geschehen, beispielsweise durch Erzwingen eines Protokoll-Downgrades oder durch Nutzung unsicherer Kryptografie. Möglicherweise finden Siehttps://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp/interessant.

Ein umsichtiger Betreiber könnte ein VPN einrichten und nur den Remote-RDP-Zugriff darüber zulassen, um eine weitere Ebene für Sicherheit, Zugriffsverwaltung, Prüfung und Kontrolle bereitzustellen.

Antwort2

Microsofts Remote Desktop verwendet Verschlüsselung, soKommunikationsind daher einigermaßen geschützt. Die Schwachstelle sind Brute-Force-Angriffe auf Ihren Benutzernamen und Ihr Passwort.

Angesichts der Art und Weise, wie Hacker das Internet kontinuierlich nach Schwachstellen absuchen, und der Anzahl der derzeit bekannten (und unbekannten) Exploits ist es viel besser, so viele Schutzmaßnahmen wie möglich einzurichten (aber nicht so weit, dass der Zugriff übermäßig kompliziert wird).

Um RDP zu sichern, können Sie Folgendes tun:

  1. Ändern Sie den Standardport, auf dem Remote Desktop lauscht

  2. Starke Referenzen
    Verwenden Sie einen nicht standardmäßigen Benutzernamen und ein langes und kompliziertes Passwort

  3. Eingeschränkte Benutzerkonten
    Beschränken Sie die Benutzer, die RDP verwenden können, stark, indem secpol.mscSie Lokale Richtlinien > Zuweisen von Benutzerrechten, doppelklicken Sie auf „Anmeldung über Remotedesktopdienste zulassen“ und entfernen Sie alle angezeigten Gruppen. Fügen Sie dann Ihren einen Benutzer hinzu.

  4. Hohes Sicherheitsniveau
    Führen Sie aus gpedit.msc und navigieren Sie zu Lokale Computerrichtlinie > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost > Sicherheitund setze:

    • "Verschlüsselungsstufe für Clientverbindung festlegen" -> Aktiviert und Hohe Stufe, damit Ihre Sitzungen mit 128-Bit-Verschlüsselung gesichert werden
    • „Verwendung einer bestimmten Sicherheitsebene für Remoteverbindungen (RDP) erforderlich“ -> SSL
    • "Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich" -> Aktiviert

  5. Festlegen einer Kontosperrungsrichtlinie
    Um ein Konto nach einer Reihe falscher Vermutungen für einen bestimmten Zeitraum zu sperren, gehen Sie zuVerwaltung > Lokale Sicherheitsrichtlinie > Kontorichtlinien > Richtlinien zur Kontosperrung, und legen Sie Werte für alle drei Optionen fest (3 ungültige Versuche mit 3 Minuten Sperrdauer sind angemessen).

  6. Behalten Sie den Überblick über die Anmeldung bei Ihrem PC
    Gehen Sie regelmäßig zur Ereignisanzeige in Anwendungs- und Dienstprotokolle > Microsoft > Windows > TerminalServices-LocalSessionManger > Betriebsbereit, um die Anmeldeinformationen anzuzeigen.

  7. Halten Sie eine hohe UAC-Ebene

  8. Erstellen Sie einen VPN-Server
    Sie können auch einen VPN-Server einrichten (Verknüpfung), wodurch eine weitere Sicherheitsebene hinzugefügt wird.

Ich hatte auf unserer Website Kontakt mit Postern, die alle oben genannten Punkte umgesetzt haben, und das scheint ausreichend Schutz zu sein. Wenn alle diese Vorsichtsmaßnahmen umgesetzt sind, wird ein Brute-Force-Angriff praktisch unmöglich, sodass die einzige verbleibende Bedrohung ein Exploit ist. Da jedoch nie Exploits beim VPN-Login oder beim RDP-Login gefunden wurden, würde ich denken, dass dieses Setup sicher genug ist.

Antwort3

Entschuldigen Sie, dass ich zu spät zur Party komme, aber ich dachte, zu Ihrer und anderer zukünftiger Bezugnahme: Vielleicht finden Sie meine Erfahrungen mit einem verwandten Problem – sagen wir einfach „interessant“ – interessant.

Ich habe vor einiger Zeit ein OpenVPN auf einem Linux-Server eingerichtet. Linux verfügt über hervorragende Protokollierungsfunktionen mit IPTables (übrigens eine erstaunliche Netzwerksoftware). Ich habe den SSH-Port geöffnet, damit ich Zertifikate übertragen konnte.

In dieser Nacht überprüfte ich die Protokolle und entdeckte, dass ein externer Akteur innerhalb weniger Sekunden, nachdem er den Port auf dem Router freigegeben hatte, mit Brute-Force-Angriffen auf diesen Port begann. Da sie wussten, dass das Konto nach drei Fehlversuchen gesperrt werden konnte, verwendete ihre Botfarm dasselbe Passwort und wechselte zwischen den Kontonamen, sodass das System mehrere Fehlversuche mit demselben Kontonamen nicht erkennen konnte. Da sie erkannt haben müssen, dass IPTables Fehlversuche von derselben IP-Adresse blockieren kann, unternahmen sie nur etwa sechs Versuche von derselben IP-Adresse aus, bevor sie zu einem anderen Computer wechselten.

Ich sage Botfarm, weil im Laufe der Woche (ich habe SSH kurz darauf gesperrt, aber den Port offen gelassen, damit ich zuschauen konnte – ich war völlig fasziniert) die Anzahl der IPs, von denen die Quelle kam, sich nie wiederholte, alle paar Sekunden, jede Minute, jede Stunde eines jeden Tages – sechs Versuche und eine neue IP-Adresse tauchte auf, die aus derselben alphabetischen Liste von Kontonamen fortfuhr.

Richten Sie ein VPN ein. Verwenden Sie Zertifikate und keine Kontonamen. Und setzen Sie Dinge wie RDP nicht länger als ein paar Stunden aus, selbst wenn Sie ein tolles System zum Erstellen von Passwörtern haben. Tun Sie es nicht. (Übrigens, mein Kontoname stand auf seiner Liste und wartete nur darauf, dass er das richtige Passwort fand.)

Antwort4

Ich stimme zu, dass es im Allgemeinen nicht empfohlen wird, RDP dem Internet auszusetzen. Aber ich habe es ein paar Mal getan, um auf eine Jumpbox zuzugreifen, nachdem ich die Firewall so eingestellt hatte, dass RDP-Verbindungen nur von einer bekannten statischen Remote-IP-Adresse zugelassen werden. Das verhindert also Brute-Force-Angriffe oder das Ausnutzen von Schwachstellen. Es besteht zwar die Möglichkeit eines Man-In-the-Middle-Angriffs, aber NLA würde das nicht verhindern.

Ähnliches mache ich mit SSH.

verwandte Informationen