Security Professionals - ipfw add deny all from eindgebruikers to any

RDP beveiligen: wat is goed genoeg?

20-03-2014, 12:21 door HeinGroen, 11 reacties
Om Remote Desktop werkstations voor Terminal Server te configureren, vraag ik mij af, wat is veilig genoeg?
Te denken valt aan het wijzigen van het standaard-poort, VPN, beveiligen met een USB.
Wat vindt de community veilig genoeg, voor "Normaal" dagelijks gebruik.
A. op de server:
Besturingssysteem Windows Server 2012 Standaard
B. is dat voldoende voor privé computers (waarbij de beveiliging wordt overgelaten aan zeg maar gemiddelde privé-computergebruikers), of dienen die ook gemonitord/beveiligd te worden, zo ja, met welke maatregelen.
Werkstations: Diverse, Windows 7 en hoger; Apple Mac OS.

Ik ben benieuwd naar jullie mening(en)
Reacties (11)
20-03-2014, 12:44 door Anoniem
- Goede VPN is key here, liefst met 2-factor authentication.
- als de VPN up is zorgen dat alle traffic over de VPN loopt, dus dat ze niet meer hun eigen internet kunnen gebruiken. Dit voorkomt island-hopping.
- sterke wachtwoorden voor de Windows accounts
- VPN alleen toegankelijk laten zijn op logische tijden (werkdagen 9:00-17:00)
20-03-2014, 13:18 door Sisko
A. Ik gebruik voor o.a. RDP 2 factor authenticatie (Duo Security)

B. En beveiliging overlaten aan een gemiddelde prive computer gebruiker ? dat is mijn ogen nogal een breed begrip
20-03-2014, 13:20 door Anoniem
Wat wil je beveiligen?
Gaat het om een kerncentrale, medische gegevens of de bridgeclub?
Normaal doe je een risicoanalyse en daaruit bepaal je wat er nodig is.
Als voorbeeld authenticatie:
Voor het CMS van de bridgeclub is een gebruikersnaam en wachtwoord misschien voldoende,
Voor medische gegevens ga je iig naar 2-factor authenticatie.
Voor de kerncentrale moet je fysiek aanwezig zijn (geen remote toegang) en als nog met 2 factor aanloggen, of met 2 personen.
20-03-2014, 13:36 door [Account Verwijderd]
Wij gebruiken een VPN oplossing (met 2 factor authenticatie).. Via de VPN laten we dan RDP toe.Tevens blokkeren we Internet vanaf die werkstations op het moment dat een tunnel geopend wordt.(Dus alleen tunnelverkeer wordt toegestaan). Als een werkstation in zo'n geval een botnet-zombie is wordt die verbinding dus verbroken.

Zo'n oplossing is echter niet goedkoop ! Maar goed, in mijn ogen is de meeste goedkoop toch duurkoop dus heb management kunnen overtuigen van een fatsoenlijke Juniper.
20-03-2014, 13:59 door Anoniem
alternatieve poort is aardig, voorkomt een aantal scans, maar niet alle.
vreselijk moeilijk wachtwoord voorkomt succesvolle brute force attacks.
Stel op de windows firewall een ip-restrictie in, zodat je alleen maar vanaf je werkplek deze server kunt benaderen (en schiet jezelf niet in de voet, regel een out of band access voor het geval je gewiteliste adres veranderd.)
beveilig je werkplek goed, want een keylogger op je werkplek met een booswicht die die werkplek remote kan overnemen, en dan ben je nog de bok.

2 factor authenticatie levert meer security op, maar ook meer complexiteit, en een security oplossing is maar zo goed als diens beheerder.
Daarom is linux, beheerd door een goedbedoelende hobbyist ook niet veiliger dan windows. enkel anders. ;-)
20-03-2014, 15:01 door HeinGroen
Door Sisko: A. Ik gebruik voor o.a. RDP 2 factor authenticatie (Duo Security)

B. En beveiliging overlaten aan een gemiddelde prive computer gebruiker ? dat is mijn ogen nogal een breed begrip

Ad B. Dank voor je opmerking.

Gebruikers zijn momenteel gewend op een thuiscomputer aan te loggen via RDP. Zowel via PC als Apple. Die computer wordt soms door meerdere personen gebruikt. Maar ze loggen niet aan op het netwerk van een kerncentrale, het is een werkstation-situatie voor een commerciële organisatie (zonder extreem veiligheidsrisico).

Overigens dank voor alle tips tot op heden, het wordt zeker een VPN-verbinding, ik zal twee factor authentificatie onderzoeken en
20-03-2014, 17:14 door Walter
Om te beginnen moet je die RDP poort natuurlijk nooit open zetten.
Begin dus met een Terminal Services Gateway te installeren (op bijvoorbeeld dezelfde frontend machine als je webmail) die de authenticatie via https af kan handelen.

Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.

Als laatste kun je de TS Gateway nog eens achter 2 factor authenticatie doen, iets dat je zelfs nog op een firewall (via een SSL VPN) kunt laten afhandelen.
Op de firewall kun je dan nog eens eisen stellen aan security:
- Anti virus actief
- Anti virus up-to-date
- Windows firewall instellingen

Al met al meer dan voldoende mogelijkheden om je RDP sessies af te schermen, zonder RDP rechtstreeks aan de buitenwereld te tonen.
20-03-2014, 20:21 door mcb - Bijgewerkt: 20-03-2014, 20:40
Vergeet ook niet op je server in te stellen dat er geen lokale/client resources mee mogen.
Dus geen lokale/client schijf (denk ook aan usb sticks e.d.) als share op de RDP, geen lokale printer, geen sound, geen clipboard.
Verder disconnect na aantal minuten inactiviteit, maximale inlogtijd/duur.

Dit (en meer) kan je instellen via gpo op je server:
Computer config -> administrative templates -> windows components -> remote desktop services.

Edit: denk ook even aan een pw policy.
20-03-2014, 20:36 door [Account Verwijderd]

Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.

We hebben dit in de beginjaren ook gedaan, maar is een PITA. En buitengewoon onveilig, omdat je op de een of andere manier het client-certificate bij de gebruiker moet krijgen.. Geef je ze een CD / USB stick mee? Via mail? Of ga je elke medewerker thuis bezoeken en installeer je het certificaat voor hun?

Ik kan er helemaal naast zitten (het is zo'n 10 jaar geleden dat we die methode gebruikten) maar het lijkt me haast niet te doen.
21-03-2014, 11:03 door Anoniem
- vpn met versleuteling en 2weg authenticatie
of
- ssh met public en private key waar ook een wachtwoord op de keys staat

indien geen vpn:

- rdp poort aanpassen
- ip adressen die toegang hebben tot de desbetreffende server toestaan in de firewall, overig verkeer afslaan
21-03-2014, 13:18 door Anoniem
Door NedFox:

Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.

We hebben dit in de beginjaren ook gedaan, maar is een PITA. En buitengewoon onveilig, omdat je op de een of andere manier het client-certificate bij de gebruiker moet krijgen.. Geef je ze een CD / USB stick mee? Via mail? Of ga je elke medewerker thuis bezoeken en installeer je het certificaat voor hun?

Ik kan er helemaal naast zitten (het is zo'n 10 jaar geleden dat we die methode gebruikten) maar het lijkt me haast niet te doen.

We hebben hier wel eens zo iets gehad van een leverancier die wilde dat er bij hen zo ingelogd werd en dat was een
usb stick die je in de PC moest doen en dan nog een of andere pincode intikken in het loginscherm.
Het client certificaat stond (en bleef) op de USB stick, werd dus niet op de PC opgeslagen.
Dit is al wel een aantal jaren geleden, weet niet of dat nog gebruikelijk is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.