image

Overheid VS: remote toegang via alleen een wachtwoord is niet verstandig

dinsdag 31 augustus 2021, 10:24 door Redactie, 6 reacties

Het gebruik van alleen een wachtwoord om systemen op afstand te benaderen of beheren is niet verstandig en moet worden gezien als een "bad practice", zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

In juni besloot het CISA om bad practices te verzamelen die buitengewoon riskant zijn en de cyberrisico's voor organisaties juist vergroten. De eerste twee bad practices waar het CISA voor waarschuwde waren het gebruik van end-of-life software en het gebruik van bekende/hardcoded/standaard wachtwoorden. Als derde bad practice is nu het gebruik van singlefactorauthenticatie toegevoegd, waarbij er alleen via een gebruikersnaam en wachtwoord op een systeem wordt ingelogd.

Het CISA noemt het gebruik van alleen een wachtwoord met name gevaarlijk wanneer het wordt gebruikt om systemen van de vitale infrastructuur op afstand te benaderen of beheren, aangezien dit het risico voor de nationale veiligheid, nationale economische veiligheid, volksgezondheid en openbare veiligheid aanzienlijk vergroot. Hoewel de vitale infrastructuur specifiek wordt genoemd, roept het CISA alle organisaties op deze bad practice aan te pakken.

De Amerikaanse overheidsinstantie stelt dat er bewust is gekozen voor een klein aantal zeer ernstige bad practices, omdat organisaties beperkte middelen hebben om alle risico's te identificeren en verhelpen. Daarnaast is de aanpak van bad practices geen vervanging voor het implementeren van best practices. Verder wil het ontbreken van een bepaalde bad practice niet zeggen dat het CISA die goedkeurt.

Reacties (6)
31-08-2021, 10:34 door Anoniem
Ik dacht dat "we" dat wel al wisten sinds minstens... 12 jaar geleden?
31-08-2021, 10:39 door Power2All - Bijgewerkt: 31-08-2021, 10:40
Doe ik al jaren niet meer.
Het is ofwel met een wachtwoord en token (2FA), of via CertOnly.
Sowieso, Windows RDP is altijd zo lek als een mandje, gewoon lekker achter een VPN server zetten (OpenVPN, SoftEther, etc...), dan ben je redelijk veilig.
Aangezien ik alles in Proxmox/Debian/Ubuntu/Alpine draai, heb ik daar totaal geen last van.
Alles dicht getimmered met firewall, zit je helemaal goed.
Tegenwoordig kun je ook 2FA voor Linux shells toepassen, in combinatie met Yubikey is dat helemaal top :)
31-08-2021, 11:35 door Anoniem
ja lekker veilig om andere toepassingen te installeren om linux veiliger te maken toch wel veiliger dan Windows 11..???????
ze moeten daar eens mee stoppen om alles maar op afstand te koppelen deze optie is levens gevaarlijk...dat is het zelfde
als je portemonnee aan de deur hangen ..???????
31-08-2021, 12:59 door Anoniem
Door Power2All: Doe ik al jaren niet meer.
Het is ofwel met een wachtwoord en token (2FA), of via CertOnly.
Ik dacht dat tegenwoordige elke professional dit wel wist en deed.

Sowieso, Windows RDP is altijd zo lek als een mandje, gewoon lekker achter een VPN server zetten (OpenVPN, SoftEther, etc...), dan ben je redelijk veilig.
Er zijn meer wegen die naar Rome leiden, maar inderdaad een VPN met wat beperkingen zoals certificaat en eventueel IP white listing maken de boel een stuk veiliger.

Aangezien ik alles in Proxmox/Debian/Ubuntu/Alpine draai, heb ik daar totaal geen last van.
Alles dicht getimmered met firewall, zit je helemaal goed.
Tegenwoordig kun je ook 2FA voor Linux shells toepassen, in combinatie met Yubikey is dat helemaal top :)
Pas op dat je jezelf niet overschat qua veiligheid. Als ik het zo lees, heb je het goed voor elkaar en houd je de gemiddelde cybercrimineel hiermee buiten de deur. Maar 'profs' kunnen meer dan je denkt.
31-08-2021, 14:27 door Power2All - Bijgewerkt: 31-08-2021, 14:28
Pas op dat je jezelf niet overschat qua veiligheid. Als ik het zo lees, heb je het goed voor elkaar en houd je de gemiddelde cybercrimineel hiermee buiten de deur. Maar 'profs' kunnen meer dan je denkt.

Mja heb bij meerdere hosting bedrijven gewerkt.
De meeste werken door middel van een Bastion server.
Ik heb het redelijk goed voor elkaar inderdaad, maar heb ook maar 2 servers waar ik me druk over hoef te maken.
Met vaste IP ranges e.d. kom je al een behoorlijke eind.
SoftEther is tevens sneller kwa doorvoer dan OpenVPN en is ook gratis.
Profs heb ik al eens mee gesproken, mensen die hun geld verdienen door exploits te zoeken en te misbruiken.
Zolang je geen onbevoegde enige shell toegang geeft, en alles IP whitelist via VPN, ben je al behoorlijk veilig hoor.
Windows RDP is gewoon een drama de laatste tijd geweest, maar gelukkig draai ik totaal geen Windows servers meer :)
In combinatie met Docker e.d. is alles best wel dicht getimmered voor elke website.
31-08-2021, 17:57 door Anoniem
Fijn dat ze daar nu ook van op de hoogte zijn. Beter laat dan nooit...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.