none
RDP protokol - na kolik je bezpečný?

    Dotaz

  • Rád bych dočasně vytvořil virtuální počítač (Windows 7 Pro)  v DMZ, který je členem naší interní domény a poskytuje RDP ven. Prosím, nebavme se v tuto chvíli o RDP gateway nebo VPN - jde o dočasné řešení. Zajímá mě, jestli RDP protokol na desktopu je natolik bezpečný, abychom ho mohli posílat ven. Je třeba RDP 8.0 bezpečnostně srovnatelný s VPN přes https port?

    Díky, JŠ

    24. září 2013 8:41

Odpovědi

  • Nic moc jsem okolo toho nenasel, bezne to spousta lidi dela, ale me se to nelibi.

    Urcite bych pouzil nejaky jiny port, zapnul nutnost  pouzivat NLA. Na domene nastavil nejakou zamykaci logiku uctu, pokud by nekdo pouzil brutal force attack na heslo.

    Casto se doporucuje zapouzdrit RDP do vice zabezpecene komunikace. Muzete zkusit free stunnel, ktery je portovan i na Windows.

    24. září 2013 9:12
  • je zajímavé, že tu člověk řeší přístup na RDP, když to je úplně standardní TLS šifrování, stejné, jako je pro OWA, který má otevřený úplně každý :-) Takže já bych k tomu doplnil jenom následující:

    - dělejte to přes RDP Gateway, protože to vám potom pojede přes 443 a přitom budete potřebovat jenom jeden certifikát

    - kupte si pro tu gateway veřejný certifikát, například od www.godaddy.com a nebudete mít vůbec žádné bezpečnostní ani praktické problémy

    - ano, zamykání hesel samozřejmě, ale pokud máte otevřenu právě třeba OWA, tak to budete zažívat se stejnou periodicitou, jako s tou OWAou.

    - s RDP Gateway můžete dokonce vyžadovat použití klientského certifikátu uživatele. Takový si můžete nechat vydávat automaticky pro doménové uživatele z vlastní certifikační autority a bude to neprůstřelné, pokusy o uhádnutí hesla tím skončí. Navíc by ty certifikáty mohly být v čipových kartách.

    ondra.

    25. září 2013 7:05

Všechny reakce

  • Nic moc jsem okolo toho nenasel, bezne to spousta lidi dela, ale me se to nelibi.

    Urcite bych pouzil nejaky jiny port, zapnul nutnost  pouzivat NLA. Na domene nastavil nejakou zamykaci logiku uctu, pokud by nekdo pouzil brutal force attack na heslo.

    Casto se doporucuje zapouzdrit RDP do vice zabezpecene komunikace. Muzete zkusit free stunnel, ktery je portovan i na Windows.

    24. září 2013 9:12
  • Podla mna je to uplne v pohode. Jediny problem moze byt zamykanie uctov ak je tam brutal force. Viacej o bezpecnosti je TU.

    ---------- Ondrej Zilinec - Cievo ----------

    24. září 2013 10:56
  • Protokol samotny je IMHO bezpecny. Ale jakmile ho otevres na standardnim portu, tak se okamzite stanes obeti pokusu o prolomeni hesla. Takze urcite dohlednout na to, aby uzivatele pristupujici k RDP meli opravdu bezpecna hesla a samozrejme take nastavit odpovidajici politiku uzamykani uctu (jak uz uvedli MT a OŽ).

    Take jsem musel pustit pristup na TS primo z Internetu a dokud jsem to mel na portu 3389, tak pocet utoku se denne pocital na tisice.


    BB

    24. září 2013 11:11
  • O DoS (typicky pres zaslani Windows-U, opraveno snad uz konecne) nemluve

    MP

    24. září 2013 15:05
    Moderátor
  • Provozujeme takto jeden studentský terminálový server a útoků na standardním portu jde skutečně mnoho. Ale i při velkém počtu (nezodpovědných) studentů se nám ještě nestalo, že by se tam někdo dostal. Máme ale politiku, aby po 5 neúspěšných pokusech o přístup došlo k uzamčení účtu na 30 minut. A samozřejmě nepoužívat účet hosta a Administrator (a se jménem admin, na které jde mnoho útoků), ale to je snad jasné...
    24. září 2013 19:39
  • je zajímavé, že tu člověk řeší přístup na RDP, když to je úplně standardní TLS šifrování, stejné, jako je pro OWA, který má otevřený úplně každý :-) Takže já bych k tomu doplnil jenom následující:

    - dělejte to přes RDP Gateway, protože to vám potom pojede přes 443 a přitom budete potřebovat jenom jeden certifikát

    - kupte si pro tu gateway veřejný certifikát, například od www.godaddy.com a nebudete mít vůbec žádné bezpečnostní ani praktické problémy

    - ano, zamykání hesel samozřejmě, ale pokud máte otevřenu právě třeba OWA, tak to budete zažívat se stejnou periodicitou, jako s tou OWAou.

    - s RDP Gateway můžete dokonce vyžadovat použití klientského certifikátu uživatele. Takový si můžete nechat vydávat automaticky pro doménové uživatele z vlastní certifikační autority a bude to neprůstřelné, pokusy o uhádnutí hesla tím skončí. Navíc by ty certifikáty mohly být v čipových kartách.

    ondra.

    25. září 2013 7:05
  • To sevecek: Precti puvodni dotaz. Nebavime se o gatewai, vystrkujeme ven jedno PC s W7 = neni TLS. s SSl je to bez debat.

    25. září 2013 7:32
  • W7 je TLS. Pokud je to potřeba vynutit, tak podle tohoto: http://www.sevecek.com/Lists/Posts/Post.aspx?ID=344

    o.

    25. září 2013 8:40
  • OK, dik za info.
    25. září 2013 12:00