image

Mag een internetprovider het remote deskop protocol categorisch blokkeren?

woensdag 6 oktober 2021, 10:38 door Arnoud Engelfriet, 40 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP-systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?

Antwoord: Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:

1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.

Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

  • Handelen op basis van een wettelijk verbod of gerechtelijk bevel
  • Beschermen van de integriteit en de veiligheid van het netwerk
  • Netwerkcongestie voorkomen of beperken

Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS-aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (40)
06-10-2021, 10:49 door Anoniem
Inderdaad beter om een VPN-tunnel te boren naar het bedrijfsnetwerk, en RDP-verkeer dan ook te tunnelen. Het heeft ook nog eens het voordeel dat je via VPN een stuk minder services direct aan het net hoeft te hangen.
06-10-2021, 10:49 door Anoniem
Ooit van VPN gehoord? Daarmee kun je op een veilige manier toegang krijgen tot je netwerk, en kan je provider het niet tegenhouden.
06-10-2021, 11:00 door Anoniem
Normaal gesproken wordt hiervoor een RDP gateway gebruikt aan de kant van de leverancier, zodat het verkeer niet via de RDP-poort gaat maar via poort 443.
Maar ik zie voor deze provider nog wel een verschil tussen het blokkeren van inkomend RDP-verkeer en uitgaand RDP-verkeer. Om het eigen netwerk te beschermen kan inkomend RDP-verkeer worden geweerd. Dan zou deze thuiswerker nog steeds contact kunnen krijgen met de externe RDP-server.
06-10-2021, 11:15 door Anoniem
Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?

Heeft iemand de moeite genomen om met de ISP contact op te nemen?
Bv om om uitleg te vragen.
Misschien heeft de provider een goede reden of kan mee denken in een oplossingsrichting.
06-10-2021, 11:24 door Anoniem
Dus heel Remote Desktop Gateway kan je weggooien. (Ervoor gemaakt om externe RDP verbindingen door te lussen naar juiste PC's).
VPN is niet gebruiksvriendelijk in velen gevallen, daarom zijn er dergelijke oplossingen op de markt.
06-10-2021, 11:29 door Anoniem
Ik zou in ieder geval een andere "derde partij" zoeken die de ERP applicatie op een veilige manier aanbiedt.
06-10-2021, 11:45 door _R0N_
Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).
06-10-2021, 11:48 door [Account Verwijderd]
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.
06-10-2021, 11:51 door Anoniem
Het tunnelen van RDP kan lagg veroorzaken.
Een nette en veilige oplossing is door het RDP-verkeer via een RD Gateway server te laten lopen over poort 443 (https) en de sessies te beschermen met tweestapsverificatie.
06-10-2021, 12:09 door Anoniem
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Ja dat zou een goede zaak zijn. Maar wel lijkt het me handiger om INKOMEND die RDP te blokkeren. Ik kan me goed
voorstellen dat een ISP niet toelaat dat mensen RDP op de computer thuis draaien, omdat dat veel te vaak gehacked
wordt en de computer dan weer een uitvalsbasis voor aanvalles wordt, maar ik snap niet goed dat een consumenten
ISP een uitgaande RDP connectie zou blokkeren (waar het hier kennelijk om gaat).

Wat nog zou kunnen is dat de klant malware op de PC heeft of gehad heeft en de ISP dit uitgaand verkeer geblokkeerd
heeft omdat er klachten kwamen over RDP aanvallen vanaf dat IP adres. Maar meestal zullen ISP's die daar om geven
niet een of een paar protocollen blokkeren maar de hele klant afsluiten en al het verkeer redirecten naar een server
die probeert informatie te verschaffen (niet zo gemakkelijk meer nu alles perse https moet zijn).
De communicatie over dit soort acties is vaak nogal beperkt en bot. Je moet er zelf maar achter komen en de helpdesk
bellen en dan vertellen ze je wel dat je besmet bent en dat eerst maar eens moet oplossen voor ze je weer aansluiten.
Een berichtje sturen dat komt er veelal niet van (is ook lastig als je je meteen daarna afsluiten).
06-10-2021, 12:19 door Anoniem
Door Anoniem: Het tunnelen van RDP kan lagg veroorzaken.
Een nette en veilige oplossing is door het RDP-verkeer via een RD Gateway server te laten lopen over poort 443 (https) en de sessies te beschermen met tweestapsverificatie.

RD Gateway = tunneling, of mis ik iets?
06-10-2021, 12:39 door Anoniem
Door Anoniem: Het tunnelen van RDP kan lagg veroorzaken.
Een nette en veilige oplossing is door het RDP-verkeer via een RD Gateway server te laten lopen over poort 443 (https) en de sessies te beschermen met tweestapsverificatie.
Wat denk je dat een RD Gateway precies doen?
06-10-2021, 12:42 door Anoniem
Poort 3389 hoort niet open te staan. Het probleem zit dus bij de aanbieder van de applicatie. Die moet zijn systemen aanpassen naar de genoemde RDP Gateway die babbelt over 443. Poort 443 is veiliger, versleuteld en zal nooit geblokkeerd worden.
06-10-2021, 12:59 door Anoniem
Ja dat mag. RDP is geen verplichte open standaard maar een vendor lock.
06-10-2021, 13:38 door Anoniem
Ik denk dat er soms iets te makkelijk met een systeembeheerders-bril wordt gekeken naar wat redelijk is. De overwegingen van Verordening 205/2120 plaatsen toch een aantal relevante kanttekeningen.

Zo noemt overweging 8:
Bij het aanbieden van de internettoegangsdiensten moeten aanbieders van die diensten alle verkeer gelijk behandelen, zonder discriminatie, beperking of inmenging, ongeacht de afzender of ontvanger, de inhoud, toepassing of dienst, of de eindapparatuur.
Ik maak hieruit op dat onderscheid op basis van toepassing, waar hier sprake van lijkt te zijn, niet als een redelijke maatregel wordt gezien.

Overweging 9 zegt het volgende:
De door de aanbieders van internettoegangsdiensten toegepaste redelijke verkeersbeheersmaatregelen moeten transparant, niet-discriminerend en evenredig zijn en mogen niet ingegeven zijn door commerciële overwegingen.
Uit het bericht maak ik op dat de betreffende klant van de internetprovider niet is geïnformeerd over de blokkade. Ik vraag me dus af of de maatregel wel voldoende transparant is geweest.

Ook gaat de verordening op verschillende plekken in op het belang om de maatregel niet langer dan nodig aan te houden, zoals bijvoorbeeld in artikel 3:
Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om:
Dat geeft mij de indruk dat de wetgever bedoeld heeft dat het ingrijpen zo beperkt mogelijk moet zijn. Het is dus eerder de bedoeling om bij specifieke inbreuken specifiek en tijdelijk in te grijpen dan preventief en voor onbepaalde tijd applicaties te blokkeren omdat het soms (soms per klant kan voor een internetprovider nog steeds dagelijkse praktijk zijn) fout gaat.


En voor de eis "strict noodzakelijk" is het ook behulpzaam om naar andere providers te kijken. Blokkeren anderen ook dezelfde applicatie? Zo nee, is het dan wel "strict noodzakelijk"? Ik wil daarmee niet zeggen dat het alleen mag als iedereen hetzelfde doet, maar er is een grijs gebied tussen "strict noodzakelijk" en "goedkoper dan incidenten/klachten afhandelen".

Dat gezegd hebbende: Zet alle remote-desktop toegang waar mogelijk alsjeblieft achter een VPN-verbinding.
06-10-2021, 13:49 door _R0N_
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
06-10-2021, 14:25 door Anoniem
Hoe zit dan met internetproviders, zoals Ziggo, die poort 25/tcp (SMTP) blokkeren? Het blokkeren daarvan voorkomt niet direct een inbreuk op de integriteit of veiligheid van het (Ziggo/ISP) netwerk. Het voorkomt alleen eventueel misbruik en schade aan andermans systemen.
06-10-2021, 14:43 door walmare - Bijgewerkt: 06-10-2021, 14:43
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!
06-10-2021, 15:35 door Anoniem
Door Anoniem: Hoe zit dan met internetproviders, zoals Ziggo, die poort 25/tcp (SMTP) blokkeren? Het blokkeren daarvan voorkomt niet direct een inbreuk op de integriteit of veiligheid van het (Ziggo/ISP) netwerk. Het voorkomt alleen eventueel misbruik en schade aan andermans systemen.
Bij misbruik van andermans systemen ontstaat er schade aan de reputatie van de ISP en hun netwerkranges.
06-10-2021, 16:00 door Anoniem
Door walmare:
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!

Zoals je het nu stelt zou VNC wel open moeten staan, want dat is opensource en niet proprietary. Dat lijkt me niet van toepassing.
Daarnaast is RDP niet zo gesloten als je denkt. er is b.v. ook xrdp wat een opensource implementation is, zo kun je RDPen naar een Linux server. (of je dat zou willen doen is een andere vraag)
06-10-2021, 16:20 door Anoniem
Door walmare:
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!

Waar slaat dat nou weer op? Netneutraliteit wil zeggen dat al het internetverkeer gelijk moet worden behandeld. Dat staat geheel los van het feit de een protocol mogelijk 'proprietary' is.
06-10-2021, 17:50 door Anoniem
Sneue discussie weer dit. Ten eerste is het eeen onzin topic. Want geen enkele provider zal ooit RDP blokkeren. En ten tweede moet het dan toch weer ontaarden in een windows flame.
06-10-2021, 19:59 door Anoniem
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Je mag niet vergeten dat een VPN twee-richtingsverkeer is.
Ik zou een VPN absoluut niet aanraden voor deze use case.

Als je 2 bedrijfsnetwerken met elkaar wil linken ==> VPN.
Als je een service wil aanbieden aan een eindgebruiker ==> VPN is enkel maar een middel om de eigenlijke service onzichtbaar te maken.

Dat is ook een reden waarom je nooit VPN verkeer moet doorlaten doorheen een firewall of NIDS/NIPS systeem omdat je dan deze security controls onbruikbaar hebt gemaakt voor alle verkeer doorheen de VPN.

Je kan perfect RDP aanbieden over HTTPS, vb: Via Apache Guacamole.
06-10-2021, 20:03 door Anoniem
Door Anoniem: Hoe zit dan met internetproviders, zoals Ziggo, die poort 25/tcp (SMTP) blokkeren? Het blokkeren daarvan voorkomt niet direct een inbreuk op de integriteit of veiligheid van het (Ziggo/ISP) netwerk. Het voorkomt alleen eventueel misbruik en schade aan andermans systemen.

Omdat er ook een overeenkomst is waarin duidelijk staat aangegeven wat de ISP aanbiedt, en dat deze dingen geblokeerd ziin staan erin.
De meeste particulieren hebben helemaal geen "internettoegang", maar een flauw afkooksel ervan. ISP modems/routers kennen enkel TCP/UDP/ICMP. Met wat gelukt ook ESP, maar daar houdt het dan ook meestal op.
07-10-2021, 07:52 door Anoniem
Door Anoniem: Ja dat mag. RDP is geen verplichte open standaard maar een vendor lock.
Onzin antwoord, netneutraliteit is niet beperkt tot open standaarden.
07-10-2021, 08:02 door Anoniem
Door Anoniem: Ik denk dat er soms iets te makkelijk met een systeembeheerders-bril wordt gekeken naar wat redelijk is. De overwegingen van Verordening 205/2120 plaatsen toch een aantal relevante kanttekeningen.

Zo noemt overweging 8:
Bij het aanbieden van de internettoegangsdiensten moeten aanbieders van die diensten alle verkeer gelijk behandelen, zonder discriminatie, beperking of inmenging, ongeacht de afzender of ontvanger, de inhoud, toepassing of dienst, of de eindapparatuur.
Ik maak hieruit op dat onderscheid op basis van toepassing, waar hier sprake van lijkt te zijn, niet als een redelijke maatregel wordt gezien.

Overweging 9 zegt het volgende:
De door de aanbieders van internettoegangsdiensten toegepaste redelijke verkeersbeheersmaatregelen moeten transparant, niet-discriminerend en evenredig zijn en mogen niet ingegeven zijn door commerciële overwegingen.
Uit het bericht maak ik op dat de betreffende klant van de internetprovider niet is geïnformeerd over de blokkade. Ik vraag me dus af of de maatregel wel voldoende transparant is geweest.

Ook gaat de verordening op verschillende plekken in op het belang om de maatregel niet langer dan nodig aan te houden, zoals bijvoorbeeld in artikel 3:
Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om:
Dat geeft mij de indruk dat de wetgever bedoeld heeft dat het ingrijpen zo beperkt mogelijk moet zijn. Het is dus eerder de bedoeling om bij specifieke inbreuken specifiek en tijdelijk in te grijpen dan preventief en voor onbepaalde tijd applicaties te blokkeren omdat het soms (soms per klant kan voor een internetprovider nog steeds dagelijkse praktijk zijn) fout gaat.


En voor de eis "strict noodzakelijk" is het ook behulpzaam om naar andere providers te kijken. Blokkeren anderen ook dezelfde applicatie? Zo nee, is het dan wel "strict noodzakelijk"? Ik wil daarmee niet zeggen dat het alleen mag als iedereen hetzelfde doet, maar er is een grijs gebied tussen "strict noodzakelijk" en "goedkoper dan incidenten/klachten afhandelen".

Dat gezegd hebbende: Zet alle remote-desktop toegang waar mogelijk alsjeblieft achter een VPN-verbinding.
Goed antwoord!

Daarnaast zouden providers kunnen overwegen om een generiek 'veilig' profiel te maken waarbij dit soort poorten geblokkeerd zijn en voor de gemiddelde gebruiker geen enkel probleem oplevert. Klanten die dan toch zo'n poort/protocol willen gebruiken laat men dan individueel - al dan niet via een self service portal - poorten/protocollen alsnog open zetten. Dan voldoet men zowel aan netneutraliteit als een zorgplicht om klanten met minder kennis van zaken te beschermen.

Recent was hier een soortgelijke discussie over poort 25. Net als RDP is het in 99,9% van de gevallen niet handig om te doen. Maar die keuze hoort uiteindelijk bij de klant van de provider te liggen, niet bij de provider.
07-10-2021, 08:45 door Anoniem
Door Anoniem:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Je mag niet vergeten dat een VPN twee-richtingsverkeer is.
Ik zou een VPN absoluut niet aanraden voor deze use case.

Als je 2 bedrijfsnetwerken met elkaar wil linken ==> VPN.
Als je een service wil aanbieden aan een eindgebruiker ==> VPN is enkel maar een middel om de eigenlijke service onzichtbaar te maken.

Dat is ook een reden waarom je nooit VPN verkeer moet doorlaten doorheen een firewall of NIDS/NIPS systeem omdat je dan deze security controls onbruikbaar hebt gemaakt voor alle verkeer doorheen de VPN.

Je kan perfect RDP aanbieden over HTTPS, vb: Via Apache Guacamole.
Dat is open source. Gebruiken de windowsbeheerders niet. Met SSL VPN (HTTPS/TLS) kan het ook. Ik zou geen andere VPN kiezen omdat je dan een netwerklaag aanbiedt waar je van alles overheen kan fietsen.
07-10-2021, 09:46 door Anoniem
Door walmare:
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!
Fout, blokkeren omdat het iets van Microsoft is, is wel degelijk in strijd met netneutraliteit. Hetzelfde geldt voor het blokkeren van TeamViewer, Zoom, Facetime of iets anders. Niet de provider bepaalt wat iemand gebruikt, dat doet de gebruiker zelf. Stop met je gezeur over dat alles open source moet zijn! Dat jij daar een goed gevoel bij hebt is prima, maar NIEMAND heeft het recht om anderen te veroordelen voor het gebruik van software dat voor die persoon het makkelijkst is. Ik ben blij voor jou, dat je goed werkende en voor jou veilige software gebruikt, dat is belangrijk. Persoonlijk ben ik niet heel happy met Chromebooks, zeker voor schoolgebruik. M.i. krijgt Google daarmee teveel inzicht in de privézaken van kinderen, maar dat een school ervoor kiest snap ik. Ze zijn beter betaalbaar, vergen geen IT-afdeling die ze onderhoud en het is makkelijk om documenten uit te wisselen.
07-10-2021, 10:23 door Anoniem
Door Anoniem: Sneue discussie weer dit. Ten eerste is het eeen onzin topic. Want geen enkele provider zal ooit RDP blokkeren. En ten tweede moet het dan toch weer ontaarden in een windows flame.

Dit!

Elk topic hier ontaard in een Windows flame, dat is hier al heel lang zo helaas. Ik snap dat de Linux fanboys maar wat graag MS willen bashen, maar ze snappen steeds maar niet dat we geen keus hebben. En hier gaan lopen toeteren dat MS zo slecht is lost dat helaas niet op. Mijn gebruikers (onderwijs) eisen Azure, Windows en Office, ook omdat het bedrijfsleven dat doet. Ik kan dus niet anders dan die diensten aanbieden.

Dat ik in elk topic dan weer het kinderachtige vingerwijzen moet zien is zeer irritant en onprofessioneel en voegt totaal niets toe.
07-10-2021, 10:58 door Anoniem
Door Anoniem:
Daarnaast zouden providers kunnen overwegen om een generiek 'veilig' profiel te maken waarbij dit soort poorten geblokkeerd zijn en voor de gemiddelde gebruiker geen enkel probleem oplevert. Klanten die dan toch zo'n poort/protocol willen gebruiken laat men dan individueel - al dan niet via een self service portal - poorten/protocollen alsnog open zetten. Dan voldoet men zowel aan netneutraliteit als een zorgplicht om klanten met minder kennis van zaken te beschermen.

Recent was hier een soortgelijke discussie over poort 25. Net als RDP is het in 99,9% van de gevallen niet handig om te doen. Maar die keuze hoort uiteindelijk bij de klant van de provider te liggen, niet bij de provider.

XS4ALL had dit. Maar volgens mij waren ze daar in een buitenbeentje en heeft verder niemand dat.
En buitenbeentjes worden ontmanteld want ze brengen minder geld in het laatje voor de aandeelhouder.
07-10-2021, 12:18 door Anoniem
Door Anoniem:
Door Anoniem: Sneue discussie weer dit. Ten eerste is het eeen onzin topic. Want geen enkele provider zal ooit RDP blokkeren. En ten tweede moet het dan toch weer ontaarden in een windows flame.

Dit!

Elk topic hier ontaard in een Windows flame, dat is hier al heel lang zo helaas. Ik snap dat de Linux fanboys maar wat graag MS willen bashen, maar ze snappen steeds maar niet dat we geen keus hebben. En hier gaan lopen toeteren dat MS zo slecht is lost dat helaas niet op. Mijn gebruikers (onderwijs) eisen Azure, Windows en Office, ook omdat het bedrijfsleven dat doet. Ik kan dus niet anders dan die diensten aanbieden.

Dat ik in elk topic dan weer het kinderachtige vingerwijzen moet zien is zeer irritant en onprofessioneel en voegt totaal niets toe.
Het onderwijs eist geen Microsoft producten. Dat is tegen elke aanbestedings eis van de overheid in.
07-10-2021, 12:23 door Anoniem
Door Anoniem:
Door walmare:
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!
Fout, blokkeren omdat het iets van Microsoft is, is wel degelijk in strijd met netneutraliteit. Hetzelfde geldt voor het blokkeren van TeamViewer, Zoom, Facetime of iets anders. Niet de provider bepaalt wat iemand gebruikt, dat doet de gebruiker zelf. Stop met je gezeur over dat alles open source moet zijn! Dat jij daar een goed gevoel bij hebt is prima, maar NIEMAND heeft het recht om anderen te veroordelen voor het gebruik van software dat voor die persoon het makkelijkst is. Ik ben blij voor jou, dat je goed werkende en voor jou veilige software gebruikt, dat is belangrijk. Persoonlijk ben ik niet heel happy met Chromebooks, zeker voor schoolgebruik. M.i. krijgt Google daarmee teveel inzicht in de privézaken van kinderen, maar dat een school ervoor kiest snap ik. Ze zijn beter betaalbaar, vergen geen IT-afdeling die ze onderhoud en het is makkelijk om documenten uit te wisselen.
Fout! Het gaat niet om het blokkeren van Microsoft producten of dat alles open source moet zijn. Het gaat om open standaarden zodat iedereen de mogelijkheid heeft om toegang te krijgen met een gesloten of open client. RDP is geen open standaard. Daarnaast wordt er veel gehackt via RDP. Dus afsluiten die hap.
07-10-2021, 12:41 door Anoniem
Ik vind het maar een vaag verhaal.

Ten eerste gebruiken jullie geen VPN, dat lijkt me gek want er bestaat zoiets als de AVG en verleutelen van data en dergelijke. Maar dat terzijde...

Het lijkt me heel sterk dat al jullie personoeel dezelfde ISP heeft :P
07-10-2021, 15:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door walmare:
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!
Fout, blokkeren omdat het iets van Microsoft is, is wel degelijk in strijd met netneutraliteit. Hetzelfde geldt voor het blokkeren van TeamViewer, Zoom, Facetime of iets anders. Niet de provider bepaalt wat iemand gebruikt, dat doet de gebruiker zelf. Stop met je gezeur over dat alles open source moet zijn! Dat jij daar een goed gevoel bij hebt is prima, maar NIEMAND heeft het recht om anderen te veroordelen voor het gebruik van software dat voor die persoon het makkelijkst is. Ik ben blij voor jou, dat je goed werkende en voor jou veilige software gebruikt, dat is belangrijk. Persoonlijk ben ik niet heel happy met Chromebooks, zeker voor schoolgebruik. M.i. krijgt Google daarmee teveel inzicht in de privézaken van kinderen, maar dat een school ervoor kiest snap ik. Ze zijn beter betaalbaar, vergen geen IT-afdeling die ze onderhoud en het is makkelijk om documenten uit te wisselen.
Fout! Het gaat niet om het blokkeren van Microsoft producten of dat alles open source moet zijn. Het gaat om open standaarden zodat iedereen de mogelijkheid heeft om toegang te krijgen met een gesloten of open client. RDP is geen open standaard. Daarnaast wordt er veel gehackt via RDP. Dus afsluiten die hap.

Er staat anders letterlijk:
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform[\quote] Daar reageer ik op. Standaarden moeten dat zijn en dus algemeen gedefinieerd. Maar walmare weet over het algemeen alleen iets te melden wanneer hij een kans ziet om MS te bashen en dan te roepen dat het linux en open-source moet zijn. Het argument van hem is, dat open-source beter te controleren is en dus veiliger zou zijn. Alleen, dan moeten die controles ook worden uitgevoerd, periodiek en met in achtneming van veranderende kennis. Daar hoor ik dan weer niets over.Iets wat vandaag veilig is (encryptieniveau's b.v.) kan morgen achterhaald zijn, doordat het dan geldende kennisniveau laat zien dat iets toch te omzeilen/ontsleutelen enz. is. Ons streven moet zijn, om te zorgen dat we steeds veiliger worden, ongeacht wat de mensen gebruiken en niet om steeds te zeggen dat iets niet goed is en de eigen smaak voor heilig te verklaren. DUS: ga niet op een OS, een softwarepakket, softwareleverancier zitten hakken, omdat het niet jouw keuze is, maar geef aan wat er aan de standaarden moet gebeuren. En wanneer je software schrijft, proprietary of open source, volg de standaarden en blijf naar fouten zoeken en ze oplossen.
07-10-2021, 15:07 door Tintin and Milou
Door Anoniem:
Fout! Het gaat niet om het blokkeren van Microsoft producten of dat alles open source moet zijn. Het gaat om open standaarden zodat iedereen de mogelijkheid heeft om toegang te krijgen met een gesloten of open client. RDP is geen open standaard. Daarnaast wordt er veel gehackt via RDP. Dus afsluiten die hap.
Jij zegt dus eigenlijk f*ck de netneutraliteit?

Probeer je mening even niet als feit te brengen. Je laat hier namelijk complete onzin zien en horen en je zet jezelf volkomen voor joker.

Of er iets van een openstandaard is of niets, maakt hierin helemaal niets uit. Volkomen BS en de gebruikelijke domheid.
08-10-2021, 09:28 door Anoniem
Door Tintin and Milou:
Door Anoniem:
Fout! Het gaat niet om het blokkeren van Microsoft producten of dat alles open source moet zijn. Het gaat om open standaarden zodat iedereen de mogelijkheid heeft om toegang te krijgen met een gesloten of open client. RDP is geen open standaard. Daarnaast wordt er veel gehackt via RDP. Dus afsluiten die hap.
Jij zegt dus eigenlijk f*ck de netneutraliteit?

Probeer je mening even niet als feit te brengen. Je laat hier namelijk complete onzin zien en horen en je zet jezelf volkomen voor joker.

Of er iets van een openstandaard is of niets, maakt hierin helemaal niets uit. Volkomen BS en de gebruikelijke domheid.
Netneutraliteit is het beginsel dat internetproviders alle gegevens op het internet gelijk behandelen en niet discrimineren naar gebruiker, inhoud, website, platform, toepassing, soort aangesloten apparatuur of communicatiemethode.
RDP is dus discrimineren naar platform en toepassing.
Walmare zegt alleen dat RDP een proprietary protocol is ontwikkelt door Microsoft. Dat jij dat opvat als bashen is bizar.
08-10-2021, 10:54 door _R0N_
Door Anoniem:
Door Anoniem:
Door walmare:
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!
Fout, blokkeren omdat het iets van Microsoft is, is wel degelijk in strijd met netneutraliteit. Hetzelfde geldt voor het blokkeren van TeamViewer, Zoom, Facetime of iets anders. Niet de provider bepaalt wat iemand gebruikt, dat doet de gebruiker zelf. Stop met je gezeur over dat alles open source moet zijn! Dat jij daar een goed gevoel bij hebt is prima, maar NIEMAND heeft het recht om anderen te veroordelen voor het gebruik van software dat voor die persoon het makkelijkst is. Ik ben blij voor jou, dat je goed werkende en voor jou veilige software gebruikt, dat is belangrijk. Persoonlijk ben ik niet heel happy met Chromebooks, zeker voor schoolgebruik. M.i. krijgt Google daarmee teveel inzicht in de privézaken van kinderen, maar dat een school ervoor kiest snap ik. Ze zijn beter betaalbaar, vergen geen IT-afdeling die ze onderhoud en het is makkelijk om documenten uit te wisselen.
Fout! Het gaat niet om het blokkeren van Microsoft producten of dat alles open source moet zijn. Het gaat om open standaarden zodat iedereen de mogelijkheid heeft om toegang te krijgen met een gesloten of open client. RDP is geen open standaard. Daarnaast wordt er veel gehackt via RDP. Dus afsluiten die hap.

Wat een onzin, de meeste hacks worden via poort 80 gedaan, laten we dat maar afsluiten dan.
08-10-2021, 11:16 door Anoniem
Poort 3389 hoort niet open te staan. Het probleem zit dus bij de aanbieder van de applicatie. Die moet zijn systemen aanpassen naar de genoemde RDP Gateway die babbelt over 443. Poort 443 is veiliger, versleuteld en zal nooit geblokkeerd worden.


Versleuteling zit in een protocol, niet in een port nummer. Je kan ook HTTPS website aanbieden op port 80, of HTTP op port 443. Verder maakt RDP ook gebruik van encryptie.

De stelling dat het ene port nummer veiliger is dan het andere, is zonder inhoud.
08-10-2021, 11:16 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem:
Door walmare:
Door _R0N_:
Door Toje Fos:
Door _R0N_: Zoals Arnoud al aangeeft is RDP over VPN aan te raden, zonder VPN zou ik zelfs stellig afraden (tenzij gefilterd op source ip).

Daarom zou RDP op heel internet (niet alleen de afzonderlijke providers) afgesloten moeten worden.

Nee, iets met netneutraliteit enzo
RDP is een proprietary protocol ontwikkelt door Microsoft en heeft niets met netneutraliteit te maken maar des te meer met het gesloten microsoft platform. De internet provider die gebaseerd is op open source heeft hier helemaal niets mee en is dus ook niet verplicht dit aan te bieden!
Fout, blokkeren omdat het iets van Microsoft is, is wel degelijk in strijd met netneutraliteit. Hetzelfde geldt voor het blokkeren van TeamViewer, Zoom, Facetime of iets anders. Niet de provider bepaalt wat iemand gebruikt, dat doet de gebruiker zelf. Stop met je gezeur over dat alles open source moet zijn! Dat jij daar een goed gevoel bij hebt is prima, maar NIEMAND heeft het recht om anderen te veroordelen voor het gebruik van software dat voor die persoon het makkelijkst is. Ik ben blij voor jou, dat je goed werkende en voor jou veilige software gebruikt, dat is belangrijk. Persoonlijk ben ik niet heel happy met Chromebooks, zeker voor schoolgebruik. M.i. krijgt Google daarmee teveel inzicht in de privézaken van kinderen, maar dat een school ervoor kiest snap ik. Ze zijn beter betaalbaar, vergen geen IT-afdeling die ze onderhoud en het is makkelijk om documenten uit te wisselen.
Fout! Het gaat niet om het blokkeren van Microsoft producten of dat alles open source moet zijn. Het gaat om open standaarden zodat iedereen de mogelijkheid heeft om toegang te krijgen met een gesloten of open client. RDP is geen open standaard. Daarnaast wordt er veel gehackt via RDP. Dus afsluiten die hap.

Wat een onzin, de meeste hacks worden via poort 80 gedaan, laten we dat maar afsluiten dan.
Ha een RDP fan. U gebruikt windows?
08-10-2021, 11:18 door Anoniem
Daarnaast wordt er veel gehackt via RDP. Dus afsluiten die hap.

Er wordt veel gehackt via het internet. Dus laten we het internet maar plat gooien.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.