image

NCSC geeft beveiligingsadvies voor RDP-protocol

maandag 8 oktober 2018, 09:52 door Redactie, 17 reacties

Beheerders van systemen die via het remote desktopprotocol (RDP) toegankelijk zijn krijgen het advies om verschillende beveiligingsmaatregelen door te voeren, zodat aanvallers geen toegang tot de systemen kunnen krijgen. Het advies is afkomstig van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid en gebaseerd op een waarschuwing van de FBI over aanvallen via RDP.

Via het Remote Desktop Protocl is het mogelijk om op afstand op een systeem in te loggen. De FBI stelde eind september dat aanvallers gebruikmaken van zwakke wachtwoorden en verouderde RDP-versies om toegang tot systemen te krijgen. De aanvallers worden daarbij geholpen doordat beheerders onbeperkte toegang tot de standaard RDP-poort (tcp-poort 3389) mogelijk maken en het aantal inlogpogingen per gebruiker niet beperken.

Het NCSC wijst ook naar onderzoek van Rapid 7 waaruit blijkt dat er 11 miljoen apparaten op internet zijn te vinden die van tcp-poort 3389 gebruikmaken. Daarvan maken er meer dan 4,1 miljoen gebruik van RDP. Zodra aanvallers via RDP op een systeem weten in te loggen kunnen ze het achterliggende netwerk aan te vallen. Een bekend voorbeeld is de SamSam-ransomware die via RDP wordt verspreid.

Het NCSC heeft nu 18 beveiligingsmaatregelen opgesteld die beheerders kunnen nemen, zoals het segmenteren van netwerken, het instellen van een maximale loginduur voor RDP-sessies, het gebruik van een vpn voor het opzetten van de RDP-verbinding, het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol, het gebruik van sterke wachtwoorden en bijvoorbeeld tweefactorauthenticatie en het inventariseren of het gebruik van RDP echt nodig is.

Reacties (17)
08-10-2018, 10:11 door Anoniem
"het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.

Hopeloos als onze overheid dergelijke adviezen af gaat geven.
08-10-2018, 10:28 door Anoniem
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.

Hopeloos als onze overheid dergelijke adviezen af gaat geven.

Het zal je maar verbazen hoeveel mensen dit niet hebben geimplementeerd.. Dus ik vind het wel goed dat ze dit doen!
08-10-2018, 10:41 door Bladie
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.
08-10-2018, 10:45 door Anoniem
Door Bladie:
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.

Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.
08-10-2018, 11:09 door Briolet
Geen standaard poort helpt al behoorlijk. Kijk maar naar poort 22. Als je daar een andere poort instelt, zie je ook het aantal inlogpogingen sterk afnemen.

Bij een gerichte aanval op een bedrijf zal men vast wel de moeite doen om op alle poorten te proberen.
08-10-2018, 12:17 door Tha Cleaner
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.

Hopeloos als onze overheid dergelijke adviezen af gaat geven.
Het is echter een hele snelle en gemakkelijke maatregel die een heel hoop ruis in 1 keer weg filtert. Je moet hierop echter niet alleen vertrouwen, je moet meer beveiligingsmaatregelen treffen.
Maar met 1 hele simple maatregel los je wel heel veel op.

Door Anoniem:Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.
Het is een goed advies, echter het is maar een heel klein onderdeel, wat heel veel weg filtert, in je beveiligingslaag. Maar het is zeker niet de holy grail, het lost je probleem zeker niet op. Maar deze hele simple configuratie, maakt je oplossing wel een stuk veiliger(, maar niet veilig).
08-10-2018, 13:03 door [Account Verwijderd]
Een poort-nummer veranderen is alsof een financiële bank een verkeerd adres voor haar kluis opgeeft. Het is tijdelijk, want eenmaal gevonden is gevonden en het betekent nog steeds dat je exact dezelfde veiligheidsmaatregelen moet treffen wanneer je gewoon eerlijk bent.

En op basis van een response kan nog steeds achterhaald worden waarachter RDP zit. Gewoon een scanner draaien die zegt "Hey ik ben een RDP-client" en op basis van de response heb je zo ook de poort te pakken.
08-10-2018, 13:09 door Anoniem
Door Anoniem:
Door Bladie:
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.

Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.

Precies. Voor SSH ook wel regelmatig een andere poort gezien, 2222 bijvoorbeeld, nadeel is alleen dat bepaalde poorten alleen geopend kunnen als je voldoende rechten hebt op een *nix box en high ports (1024>) door jan en alleman, het werd er dus zelfs minder veilig door.
08-10-2018, 13:14 door Anoniem
Door Briolet: Geen standaard poort helpt al behoorlijk. Kijk maar naar poort 22. Als je daar een andere poort instelt, zie je ook het aantal inlogpogingen sterk afnemen.

Bij een gerichte aanval op een bedrijf zal men vast wel de moeite doen om op alle poorten te proberen.


https://serverfault.com/questions/189282/why-change-default-ssh-port --> hier staat een hele goede reactie en direct DE reden waarom je dit dus niet moet doen.

(Deel van de reactie: Whatever port you chose, if you do move away from 22, make sure it is below 1024. Under most Unix-a-like setups in their default config, only root (or users in the root group) can listen on ports below 1024, but any user can listen on the higher ports. Running SSH on a higher port increases the chance of a rogue (or hacked) user managing to crash your SSH daemon and replace it with their own or a proxy.)

Alles onder de 1024 wordt toch wel geprobeerd dus heb je er niets aan. Security through obscurity werkt niet. Gewoon SSH niet open zetten vanaf het publieke internet. Hier zijn VPN's en firewalls voor uitgevonden, als het dan echt niet anders kan iptables of iets dergelijks op de server zelf zetten voor alleen die specifieke ip adressen die toegang hebben.
08-10-2018, 13:24 door Anoniem
18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.
08-10-2018, 13:44 door Briolet
Door Anoniem: …Under most Unix-a-like setups in their default config, only root (or users in the root group) can listen on ports below 1024, but any user can listen on the higher ports.…

Die kende ik nog niet. Goed om te onthouden.

Overigens gebruikt ik zelf gewoon poort 22, maar sta in de firewall alleen individuele IP adressen toe voor die poort. Er draait een git server op die poort met een paar externe gebruikers.
08-10-2018, 14:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Bladie:
Door Anoniem: "het instellen van een andere poort dan de standaardpoort 3389 voor het RDP-protocol" zucht, security through obscurity.
Misschien, maar het zal de kans op misbruik wel verminderen omdat bij een expliciete port-scan op zoek naar RDP deze server niet verder onderzocht zal worden. Kortom: een goed advies naast al de andere punten.

Slecht advies, draai zelf maar eens een honeypot en je zult versteld staan wat er allemaal op welke poorten binnen wil komen.
Security through obscurity is slecht en blijft slecht.

Precies. Voor SSH ook wel regelmatig een andere poort gezien, 2222 bijvoorbeeld, nadeel is alleen dat bepaalde poorten alleen geopend kunnen als je voldoende rechten hebt op een *nix box en high ports (1024>) door jan en alleman, het werd er dus zelfs minder veilig door.
Hmmm... Draait SSH niet al standaard on het root account? En er zijn tegenwoordig meer dan volgende processen die standaard >1024 draaien. MySQL is er daar bijvoorbeeld 1 van, squid enz enz
Daarnaast, dan neem je toch TCP222? Onveliger is dus onzin.
08-10-2018, 14:56 door Anoniem
Door Anoniem: 18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.

Geef dan 17 goede maatregelen i.p.v. 17 goede en 1 slechte.

Het punt wat ik (@10:11) wilde maken dat security through obscurity eerder slecht is dan goed.
Begin er niet aan, het werkt ondoorzichtigheid in de hand waardoor mensen niet meer weten waar ze mee bezig zijn, neem beter die 17 andere maatregelen en laat die 18e dan lekker achterwege.

Overigens kan puntje 16 best wat aangescherpt worden in "DWING sterke wachtwoorden af." i.p.v." Maak voor het inloggen gebruik van sterke wachtwoorden", het zijn tenslotte tips voor admins en niet voor simpele thuis zielen.

Of snappen thuisgebruikers de volgende kreten ook?:

Segmenteer uw netwerk zodat een eventuele computerinbraak beperkte gevolgen heeft.
Beheer alle devices via Out-of-Band netwerkmanagement.
Voer hardening uit op alle netwerkapparatuur.
Stel IP-restricties in op de firewall zodat alleen geautoriseerde computers een RDP-sessie op kunnen zetten.
Configureer te allen tijde toegang op basis van authenticatie. Eventueel tweefactorauthenticatie.


Overigens heb ik niks tegen het Windows OS, ik gebruik het niet.
08-10-2018, 16:04 door Anoniem
Door Anoniem: 18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.

Precies meeste zijn gewoon goed en ook dat gene waar men aan het over zeiken is een goede.
Je kan tegenwoordig met zoekmachines scannen naar machines waar bepaalde poorten openstaan en services op draaien en zo grootschalig een hack uitvoeren.

Een criminele hacker gaat niet opzoek naar goed beveiligde systemen maar de juist zo min beveiligde en een teken dat je slecht beveiligd bent is toch een standaard poort open hebben voor een standaard remote port.
08-10-2018, 22:16 door Tha Cleaner
Door [Account Verwijderd]: Een poort-nummer veranderen is alsof een financiële bank een verkeerd adres voor haar kluis opgeeft. Het is tijdelijk, want eenmaal gevonden is gevonden en het betekent nog steeds dat je exact dezelfde veiligheidsmaatregelen moet treffen wanneer je gewoon eerlijk bent.

En op basis van een response kan nog steeds achterhaald worden waarachter RDP zit. Gewoon een scanner draaien die zegt "Hey ik ben een RDP-client" en op basis van de response heb je zo ook de poort te pakken.
Aan de andere kant. De niet Nederlander die zomaar even door de buurt rijd, ziet niet direct dat het een bank is, en rijd dus gewoon netjes door. Echter gaat hij door de ramen kijken, dan ziet die wel dat het een bank is, en kan jij kijken of die binnen kan komen. Je moet je ramen dus nog steeds goed beveiligen......

Ofwel het is een hele kleine en gemakkelijke beveiligingsmaatregel, kan je al heel veel problemen voorkomen. Maar je moet hier niet alleen op vertrouwen.....
08-10-2018, 22:20 door Tha Cleaner
Door Anoniem:
Door Anoniem: 18 beveiligingsmaatregelen. En dan pikt men er hier eentje uit en gaat zitten gillen dat dat niet afdoende is. Yeah right.

Geef dan 17 goede maatregelen i.p.v. 17 goede en 1 slechte.

Het punt wat ik (@10:11) wilde maken dat security through obscurity eerder slecht is dan goed.
Begin er niet aan, het werkt ondoorzichtigheid in de hand waardoor mensen niet meer weten waar ze mee bezig zijn, neem beter die 17 andere maatregelen en laat die 18e dan lekker achterwege.

Overigens kan puntje 16 best wat aangescherpt worden in "DWING sterke wachtwoorden af." i.p.v." Maak voor het inloggen gebruik van sterke wachtwoorden", het zijn tenslotte tips voor admins en niet voor simpele thuis zielen.

Of snappen thuisgebruikers de volgende kreten ook?:

Segmenteer uw netwerk zodat een eventuele computerinbraak beperkte gevolgen heeft.
Beheer alle devices via Out-of-Band netwerkmanagement.
Voer hardening uit op alle netwerkapparatuur.
Stel IP-restricties in op de firewall zodat alleen geautoriseerde computers een RDP-sessie op kunnen zetten.
Configureer te allen tijde toegang op basis van authenticatie. Eventueel tweefactorauthenticatie.


Overigens heb ik niks tegen het Windows OS, ik gebruik het niet.
Ik vind dit eigenlijk juist en van de beste tips die er in staan. OoB management, segmentatie, 2FA, VPN, IP restricties inderdaad leuke beveiligingsmaatregelen en ook hele goede en moet je ook zeker over nadenken. Maar voor heel veel bedrijven helemaal niet geschikt te complex, of mogelijk.

Maar een alternatieve port, is gemakkelijk en zeer snel te implementeren, zelfs voor consumenten. En het lost gewoon een groot gedeelte op van je aanvalsvector. Heb je echter iemand die verder kijkt, die zal de alternatieve port nog steeds vinden. Daar kan en moet je inderdaad alternatieve extra beveiligingsmaatregelen voor nemen.
09-10-2018, 17:08 door Anoniem
Door Briolet: Geen standaard poort helpt al behoorlijk. Kijk maar naar poort 22. Als je daar een andere poort instelt, zie je ook het aantal inlogpogingen sterk afnemen.

Bij een gerichte aanval op een bedrijf zal men vast wel de moeite doen om op alle poorten te proberen.

Meeste 22 aanvallen op mijn servers komen uit China. Het gaat 24/7 door.

RDP advies? Oud nieuws.......... laat advies. Via RDP is veel te vinden op andermans computer (vaak geen wachtwoord)

Ik herinner mij een Nederlander met een tekstbestandje met daarin al zijn wachtwoorden, codes, en zelfs pincodes.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.