| Poglej prejšnjo temo :: Poglej naslednjo temo |
| Avtor |
Sporočilo |
smartgsm
Član
Pridružen-a: Sob 10 Apr 2004 11:54
Prispevkov: 364
Aktiv.: 1.53
|
 Objavljeno: Pon Nov 19, 2007 10:03 am Naslov sporočila: Povečanje varnosti REMOTE DESKTOP + WIN2003? |
 |
|
Nekaj zaposlenih je izrazilo zeljo po dostopu preko REMOTE DESKTOPA do serverjev z katerekoli točke v internetu?
Za dostop rabiš pač IP, USRNAME in PSW.
Glede IP ni problema. Tudi USERNAME in PSW lahko zveš spotoma.
Zato iščem rešitev, kako bi zadevo varnostno nadgradil.
Ima kdo kakšne zamisli o tem?
Grega
Nazadnje urejal/a smartgsm Pon Nov 19, 2007 11:03 am; skupaj popravljeno 1 krat |
|
| Nazaj na vrh |
|
 |
jur
Član
Pridružen-a: Pet 02 Dec 2005 14:45
Prispevkov: 5142
Aktiv.: 21.65
Kraj: [color=zelena]Ljubljana[/color]
|
| Objavljeno: Pon Nov 19, 2007 10:08 am Naslov sporočila: |
|
|
Začneš redno(!) delati backupe serverja(serverjev). Če odpreš rdp iz celega interneta, bodo zadevo prej ali slej sesuli. Težave ti odpravi backup, ki vrne nazaj podatke. Pravzaprav edino, kar lahko narediš je, da na vseh sistemih redno poganjaš update operacijskega sistema, kar bo zaprlo trenutno znane luknje...
Jur |
|
| Nazaj na vrh |
|
|
mucek4
Član
Pridružen-a: Sob 18 Jun 2005 20:52
Prispevkov: 2952
Aktiv.: 12.43
Kraj: Tržič - Mesto med gorami
|
|
| Nazaj na vrh |
|
|
sundancer
Član
Pridružen-a: Ned 08 Avg 2004 22:30
Prispevkov: 374
Aktiv.: 1.57
Kraj: Ljubljana
|
| Objavljeno: Pon Nov 19, 2007 4:58 pm Naslov sporočila: |
|
|
| ce bos potreboval pomoc pri openvpn konfiguraciji sem tudi jaz zraven |
|
| Nazaj na vrh |
|
|
bostjang
Član
Pridružen-a: Tor 03 Jan 2006 15:29
Prispevkov: 3477
Aktiv.: 14.64
Kraj: Postojna
|
| Objavljeno: Tor Nov 20, 2007 1:50 pm Naslov sporočila: |
|
|
| jur je napisal/a: |
| Če odpreš rdp iz celega interneta, bodo zadevo prej ali slej sesuli. |
Ali obstaja kakšen znan primer? Poleg ugibanja upor. imena in gesla. |
|
| Nazaj na vrh |
|
|
mucek4
Član
Pridružen-a: Sob 18 Jun 2005 20:52
Prispevkov: 2952
Aktiv.: 12.43
Kraj: Tržič - Mesto med gorami
|
| Objavljeno: Tor Nov 20, 2007 2:03 pm Naslov sporočila: |
|
|
| bostjang je napisal/a: |
| Ali obstaja kakšen znan primer? |
Ja in ne.
Torej si sistemc v veliki firmi, kjer imaš nad sabo vsaj nekaj šefov. Udrejo ti v sistem, ti opaziš, formatiraš in postaviš nazaj da deluje. Seveda spremniš gesla in naložiš vse popravke.
Potem pa kaj. Tečeš do šefa in mu rečeš: "Shekali so nas!". Seveda ne. Gre se za tvoj stolček.
In tvoj šef to slučajno izve, ker si moral 3 dni postavljati server. Misliš da gre potem tvoj šef do nadrejenega. Oj veš novico imam zate: "HEKILI SO NAS!"
Seveda ne. Reče ti lepo. Bodiva tiho, kot da se ni zgodilo. Ker se maje tvoj stolček in še stolček od šefa.
Slučajno izve član uprave. Seveda prvo kot prvo pokliče na Delo d.d. In reče. "Dober dan, predskednik uprave tele in tele firme tukaj. Dajte poslat novinarja, ker so nam server heknili."
NE! Gre za ugled firme. Nekaj se bo tebi in šefu poznalo pri plači ali pa bosta tehnološki višek.
Iz tega vzroka se takih stvari ponavadi ne izve. |
|
| Nazaj na vrh |
|
|
jur
Član
Pridružen-a: Pet 02 Dec 2005 14:45
Prispevkov: 5142
Aktiv.: 21.65
Kraj: [color=zelena]Ljubljana[/color]
|
| Objavljeno: Tor Nov 20, 2007 2:41 pm Naslov sporočila: |
|
|
Ja, vem za kup sistemov, ki so jih sesuli z RDPjem. V glavnem pa so bili taki serverji, da niso redno izvajali microsoft update. Bil je tudi firewall (hardwerski), ki je spustil skozi RDP. Nobena sistemska machina ne sme imeti management storitev odprtih iz interneta, če se greš resno računalništvo.
VPN sam po sebi je še kar varen, vendar ko ti sesujejo machino, kjer poganjaš VPN (remote endpoint), ti bodo preko VPNja vdrli v serverje. VPN je relativno varen, če ti nekdo prestreza podatke, ki jih pošiljaš po žici. Če ti nekdo bere tipke (keyscan) na postaji, ni vreden nič.
Jur |
|
| Nazaj na vrh |
|
|
mucek4
Član
Pridružen-a: Sob 18 Jun 2005 20:52
Prispevkov: 2952
Aktiv.: 12.43
Kraj: Tržič - Mesto med gorami
|
| Objavljeno: Sre Nov 21, 2007 7:37 am Naslov sporočila: |
|
|
Saj pravim. Namesto
| Koda: |
| Client --> internet --> RDP(SERVER) |
se uporabi dodatna zaščita v smislu
| Koda: |
| Client --> VPN --> Internet --> VPN --> RDP(Server) |
Seveda se pa tukaj pojavi problem, da nekateri clienti (javni računalniki) nimajo VPN-ja. Prvo pravilo je. Ne tipkajte svojih gesl na javne računalnike. |
|
| Nazaj na vrh |
|
|
trot
Član
Pridružen-a: Čet 18 Jan 2007 20:25
Prispevkov: 1282
Aktiv.: 5.70
Kraj: glej fogl
|
| Objavljeno: Sre Nov 21, 2007 9:09 am Naslov sporočila: |
|
|
| Lahko pa nastaviš firewall tako, da se na remote desktop (in podobne programe) lahko povežeš samo z določenih ip-jev (tistih s katerih se ponavadi povezuješ), pa je zadeva že precej bolj varna. |
|
| Nazaj na vrh |
|
|
jur
Član
Pridružen-a: Pet 02 Dec 2005 14:45
Prispevkov: 5142
Aktiv.: 21.65
Kraj: [color=zelena]Ljubljana[/color]
|
| Objavljeno: Sre Nov 21, 2007 9:38 am Naslov sporočila: |
|
|
V navedenem primeru:
| Koda: |
| Client --> VPN --> Internet --> VPN --> RDP(Server) |
je Client nekje v internetu. To pomeni, da lahko kdorkoli pride do njega (preko mreže, brez VPN). Če klient nima vključenega in prav nastavljenega firewalla in security updatov, bodo vdrli v klienta in potem tudi VPN proti serverju ne pomaga kaj dosti.
Client  --> VPN --> Internet --> VPN --> RDP(Server  )
Jur |
|
| Nazaj na vrh |
|
|
trot
Član
Pridružen-a: Čet 18 Jan 2007 20:25
Prispevkov: 1282
Aktiv.: 5.70
Kraj: glej fogl
|
| Objavljeno: Sre Nov 21, 2007 10:38 am Naslov sporočila: |
|
|
| Kako pa boš ti ugotovil kdo je client? To ne moreš ugotovit, razen če si ISP. |
|
| Nazaj na vrh |
|
|
Sokrat
Član
Pridružen-a: Čet 25 Avg 2005 11:00
Prispevkov: 5584
Aktiv.: 23.51
|
| Objavljeno: Sre Nov 21, 2007 11:04 am Naslov sporočila: |
|
|
Ce imas iz takega ali drugacnega razloga dostop do racunalnika, ki ni povezan samo v Internet, je precej brezpredmetno ali je njegova druga povezava izvedena preko VPN ali ne; to je varnostna luknja za dostop do ostalih racunal na drugi povezavi (v lokalni ali "lokalni" mrezi).
_________________
Ka ti bo pa torba ce si kupu kolo ? |
|
| Nazaj na vrh |
|
|
mucek4
Član
Pridružen-a: Sob 18 Jun 2005 20:52
Prispevkov: 2952
Aktiv.: 12.43
Kraj: Tržič - Mesto med gorami
|
| Objavljeno: Sre Nov 21, 2007 1:39 pm Naslov sporočila: |
|
|
| jur je napisal/a: |
| V navedenem primeru:... |
je client mišljen kot prenosnik ali kaj podobnega, ker public računalnik nima VPN-ja. |
|
| Nazaj na vrh |
|
|
jur
Član
Pridružen-a: Pet 02 Dec 2005 14:45
Prispevkov: 5142
Aktiv.: 21.65
Kraj: [color=zelena]Ljubljana[/color]
|
| Objavljeno: Sre Nov 21, 2007 1:41 pm Naslov sporočila: |
|
|
Win XP imajo gor obstoječ driver za VPN clienta. Preden ga spraviš v delovanje ti odpadejo prsti.
VPN deluje varno med dvema zaupanja vrednima sistema. PC, ki ga priključiš nekje v internetu, da bi uporabil VPN ni zaupanja vreden sistem.
Jur |
|
| Nazaj na vrh |
|
|
|
Pomoč
Išči
Seznam članov
Skupine
Statistika
Album
Filemanager
Registriraj se
Priponke
Koledar
Tvoj profil
Prijava
