Security Professionals
- ipfw add deny all from eindgebruikers to any
RDP beveiligen: wat is goed genoeg?
Om Remote Desktop werkstations voor Terminal Server te configureren, vraag ik mij af, wat is veilig genoeg?
Te denken valt aan het wijzigen van het standaard-poort, VPN, beveiligen met een USB.
Wat vindt de community veilig genoeg, voor "Normaal" dagelijks gebruik.
A. op de server:
Besturingssysteem Windows Server 2012 Standaard
B. is dat voldoende voor privé computers (waarbij de beveiliging wordt overgelaten aan zeg maar gemiddelde privé-computergebruikers), of dienen die ook gemonitord/beveiligd te worden, zo ja, met welke maatregelen.
Werkstations: Diverse, Windows 7 en hoger; Apple Mac OS.
Ik ben benieuwd naar jullie mening(en)
Te denken valt aan het wijzigen van het standaard-poort, VPN, beveiligen met een USB.
Wat vindt de community veilig genoeg, voor "Normaal" dagelijks gebruik.
A. op de server:
Besturingssysteem Windows Server 2012 Standaard
B. is dat voldoende voor privé computers (waarbij de beveiliging wordt overgelaten aan zeg maar gemiddelde privé-computergebruikers), of dienen die ook gemonitord/beveiligd te worden, zo ja, met welke maatregelen.
Werkstations: Diverse, Windows 7 en hoger; Apple Mac OS.
Ik ben benieuwd naar jullie mening(en)
Reacties (11)
- Goede VPN is key here, liefst met 2-factor authentication.
- als de VPN up is zorgen dat alle traffic over de VPN loopt, dus dat ze niet meer hun eigen internet kunnen gebruiken. Dit voorkomt island-hopping.
- sterke wachtwoorden voor de Windows accounts
- VPN alleen toegankelijk laten zijn op logische tijden (werkdagen 9:00-17:00)
- als de VPN up is zorgen dat alle traffic over de VPN loopt, dus dat ze niet meer hun eigen internet kunnen gebruiken. Dit voorkomt island-hopping.
- sterke wachtwoorden voor de Windows accounts
- VPN alleen toegankelijk laten zijn op logische tijden (werkdagen 9:00-17:00)
20-03-2014, 13:18 door
Sisko
A. Ik gebruik voor o.a. RDP 2 factor authenticatie (Duo Security)
B. En beveiliging overlaten aan een gemiddelde prive computer gebruiker ? dat is mijn ogen nogal een breed begrip
B. En beveiliging overlaten aan een gemiddelde prive computer gebruiker ? dat is mijn ogen nogal een breed begrip
Wat wil je beveiligen?
Gaat het om een kerncentrale, medische gegevens of de bridgeclub?
Normaal doe je een risicoanalyse en daaruit bepaal je wat er nodig is.
Als voorbeeld authenticatie:
Voor het CMS van de bridgeclub is een gebruikersnaam en wachtwoord misschien voldoende,
Voor medische gegevens ga je iig naar 2-factor authenticatie.
Voor de kerncentrale moet je fysiek aanwezig zijn (geen remote toegang) en als nog met 2 factor aanloggen, of met 2 personen.
Gaat het om een kerncentrale, medische gegevens of de bridgeclub?
Normaal doe je een risicoanalyse en daaruit bepaal je wat er nodig is.
Als voorbeeld authenticatie:
Voor het CMS van de bridgeclub is een gebruikersnaam en wachtwoord misschien voldoende,
Voor medische gegevens ga je iig naar 2-factor authenticatie.
Voor de kerncentrale moet je fysiek aanwezig zijn (geen remote toegang) en als nog met 2 factor aanloggen, of met 2 personen.
Wij gebruiken een VPN oplossing (met 2 factor authenticatie).. Via de VPN laten we dan RDP toe.Tevens blokkeren we Internet vanaf die werkstations op het moment dat een tunnel geopend wordt.(Dus alleen tunnelverkeer wordt toegestaan). Als een werkstation in zo'n geval een botnet-zombie is wordt die verbinding dus verbroken.
Zo'n oplossing is echter niet goedkoop ! Maar goed, in mijn ogen is de meeste goedkoop toch duurkoop dus heb management kunnen overtuigen van een fatsoenlijke Juniper.
Zo'n oplossing is echter niet goedkoop ! Maar goed, in mijn ogen is de meeste goedkoop toch duurkoop dus heb management kunnen overtuigen van een fatsoenlijke Juniper.
alternatieve poort is aardig, voorkomt een aantal scans, maar niet alle.
vreselijk moeilijk wachtwoord voorkomt succesvolle brute force attacks.
Stel op de windows firewall een ip-restrictie in, zodat je alleen maar vanaf je werkplek deze server kunt benaderen (en schiet jezelf niet in de voet, regel een out of band access voor het geval je gewiteliste adres veranderd.)
beveilig je werkplek goed, want een keylogger op je werkplek met een booswicht die die werkplek remote kan overnemen, en dan ben je nog de bok.
2 factor authenticatie levert meer security op, maar ook meer complexiteit, en een security oplossing is maar zo goed als diens beheerder.
Daarom is linux, beheerd door een goedbedoelende hobbyist ook niet veiliger dan windows. enkel anders. ;-)
vreselijk moeilijk wachtwoord voorkomt succesvolle brute force attacks.
Stel op de windows firewall een ip-restrictie in, zodat je alleen maar vanaf je werkplek deze server kunt benaderen (en schiet jezelf niet in de voet, regel een out of band access voor het geval je gewiteliste adres veranderd.)
beveilig je werkplek goed, want een keylogger op je werkplek met een booswicht die die werkplek remote kan overnemen, en dan ben je nog de bok.
2 factor authenticatie levert meer security op, maar ook meer complexiteit, en een security oplossing is maar zo goed als diens beheerder.
Daarom is linux, beheerd door een goedbedoelende hobbyist ook niet veiliger dan windows. enkel anders. ;-)
20-03-2014, 15:01 door
HeinGroen
Door Sisko: A. Ik gebruik voor o.a. RDP 2 factor authenticatie (Duo Security)
B. En beveiliging overlaten aan een gemiddelde prive computer gebruiker ? dat is mijn ogen nogal een breed begrip
B. En beveiliging overlaten aan een gemiddelde prive computer gebruiker ? dat is mijn ogen nogal een breed begrip
Ad B. Dank voor je opmerking.
Gebruikers zijn momenteel gewend op een thuiscomputer aan te loggen via RDP. Zowel via PC als Apple. Die computer wordt soms door meerdere personen gebruikt. Maar ze loggen niet aan op het netwerk van een kerncentrale, het is een werkstation-situatie voor een commerciële organisatie (zonder extreem veiligheidsrisico).
Overigens dank voor alle tips tot op heden, het wordt zeker een VPN-verbinding, ik zal twee factor authentificatie onderzoeken en
20-03-2014, 17:14 door
Walter
Om te beginnen moet je die RDP poort natuurlijk nooit open zetten.
Begin dus met een Terminal Services Gateway te installeren (op bijvoorbeeld dezelfde frontend machine als je webmail) die de authenticatie via https af kan handelen.
Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.
Als laatste kun je de TS Gateway nog eens achter 2 factor authenticatie doen, iets dat je zelfs nog op een firewall (via een SSL VPN) kunt laten afhandelen.
Op de firewall kun je dan nog eens eisen stellen aan security:
- Anti virus actief
- Anti virus up-to-date
- Windows firewall instellingen
Al met al meer dan voldoende mogelijkheden om je RDP sessies af te schermen, zonder RDP rechtstreeks aan de buitenwereld te tonen.
Begin dus met een Terminal Services Gateway te installeren (op bijvoorbeeld dezelfde frontend machine als je webmail) die de authenticatie via https af kan handelen.
Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.
Als laatste kun je de TS Gateway nog eens achter 2 factor authenticatie doen, iets dat je zelfs nog op een firewall (via een SSL VPN) kunt laten afhandelen.
Op de firewall kun je dan nog eens eisen stellen aan security:
- Anti virus actief
- Anti virus up-to-date
- Windows firewall instellingen
Al met al meer dan voldoende mogelijkheden om je RDP sessies af te schermen, zonder RDP rechtstreeks aan de buitenwereld te tonen.
Vergeet ook niet op je server in te stellen dat er geen lokale/client resources mee mogen.
Dus geen lokale/client schijf (denk ook aan usb sticks e.d.) als share op de RDP, geen lokale printer, geen sound, geen clipboard.
Verder disconnect na aantal minuten inactiviteit, maximale inlogtijd/duur.
Dit (en meer) kan je instellen via gpo op je server:
Computer config -> administrative templates -> windows components -> remote desktop services.
Edit: denk ook even aan een pw policy.
Dus geen lokale/client schijf (denk ook aan usb sticks e.d.) als share op de RDP, geen lokale printer, geen sound, geen clipboard.
Verder disconnect na aantal minuten inactiviteit, maximale inlogtijd/duur.
Dit (en meer) kan je instellen via gpo op je server:
Computer config -> administrative templates -> windows components -> remote desktop services.
Edit: denk ook even aan een pw policy.
Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.
We hebben dit in de beginjaren ook gedaan, maar is een PITA. En buitengewoon onveilig, omdat je op de een of andere manier het client-certificate bij de gebruiker moet krijgen.. Geef je ze een CD / USB stick mee? Via mail? Of ga je elke medewerker thuis bezoeken en installeer je het certificaat voor hun?
Ik kan er helemaal naast zitten (het is zo'n 10 jaar geleden dat we die methode gebruikten) maar het lijkt me haast niet te doen.
- vpn met versleuteling en 2weg authenticatie
of
- ssh met public en private key waar ook een wachtwoord op de keys staat
indien geen vpn:
- rdp poort aanpassen
- ip adressen die toegang hebben tot de desbetreffende server toestaan in de firewall, overig verkeer afslaan
of
- ssh met public en private key waar ook een wachtwoord op de keys staat
indien geen vpn:
- rdp poort aanpassen
- ip adressen die toegang hebben tot de desbetreffende server toestaan in de firewall, overig verkeer afslaan
Door NedFox:
Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.
We hebben dit in de beginjaren ook gedaan, maar is een PITA. En buitengewoon onveilig, omdat je op de een of andere manier het client-certificate bij de gebruiker moet krijgen.. Geef je ze een CD / USB stick mee? Via mail? Of ga je elke medewerker thuis bezoeken en installeer je het certificaat voor hun?
Ik kan er helemaal naast zitten (het is zo'n 10 jaar geleden dat we die methode gebruikten) maar het lijkt me haast niet te doen.
Daarnaast kun je op de RDP servers waarmee je verbinding wilt maken eisen dat er een client certificaat gebruikt wordt door de verbindende machines. Zonder certificaat geen toegang. Jij hebt zelf de controle over die certificaten, want jouw eigen CA geeft deze uit.
We hebben dit in de beginjaren ook gedaan, maar is een PITA. En buitengewoon onveilig, omdat je op de een of andere manier het client-certificate bij de gebruiker moet krijgen.. Geef je ze een CD / USB stick mee? Via mail? Of ga je elke medewerker thuis bezoeken en installeer je het certificaat voor hun?
Ik kan er helemaal naast zitten (het is zo'n 10 jaar geleden dat we die methode gebruikten) maar het lijkt me haast niet te doen.
We hebben hier wel eens zo iets gehad van een leverancier die wilde dat er bij hen zo ingelogd werd en dat was een
usb stick die je in de PC moest doen en dan nog een of andere pincode intikken in het loginscherm.
Het client certificaat stond (en bleef) op de USB stick, werd dus niet op de PC opgeslagen.
Dit is al wel een aantal jaren geleden, weet niet of dat nog gebruikelijk is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.