Computerbeveiliging - Hoe je bad guys buiten de deur houdt

RDP of Webserver applicatie

31-03-2022, 08:37 door Anoniem, 14 reacties
Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

(Alvast mijn excuses als ik weer een domme vraag stel kan niks op internet vinden)
Reacties (14)
31-03-2022, 11:09 door Tintin and Milou
Door Anoniem: Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

(Alvast mijn excuses als ik weer een domme vraag stel kan niks op internet vinden)

Dit is natuurlijk een hele lastige vraag met deze 2 regels aan informatie. Ik zou bijna denken, dat dit de gebruikelijke anonieme vragen zijn die gepost worden.

Bijvoorbeeld bied je RDP via een RDP gateway aan, of gewoon direct via RDP?
Gebruikt men in de RDP server ook direct een webbrowser om die web applicatie aan te bieden?

Wat voor een applicatie?
Wat voor een data?

Voordeel van een RDP oplossing is, dat je data beter af te schermen is, immer alleen Keyboard/muis en beeldscherm gaat naar buiten.
Maar de RDP server moet je ook afschermen.

Je vraag is veel te lastig om even te beantwoorden.
Want je antwoord is eigenlijk:
It depends......
Misschien veiliger, misschien onveiliger.
31-03-2022, 11:38 door Anoniem
Vragensteller moet z'n studieboek eens goed lezen, en praten met de andere klasgenoten/mede cursisten.

En een hapklaar antwoord staat dan niet op Internet . Afgezien van "het hangt ervan af" - als je kijkt naar de basis eigenschappen van kaal RDP en een wat een webserver "standaard" doet en kan doen kun je redelijk gokken welk antwoord de docent/cursus verwacht .

Nu heb ik een beetje een hekel aan het plempen van vragen zonder context door scholieren - dus dat antwoord ga ik niet gevem.
Meer zoeken en lezen, wat doet "RDP" wel en wat zit er NIET bij , en idem voor een "webserver"

Vrijwel zeker dat in het cursusboek een sectie "wat is RDP" staat, en ook een sectie "webservices" - zoek de verschillen.
31-03-2022, 11:53 door Anoniem
Als je een applicatie wilt aanbieden zou ik dat niet via RDP doen, daarmee geef je immers veel meer dan enkel toegang tot de applicatie.
31-03-2022, 13:53 door Anoniem
Zonder een fatsoenlijke context geen antwoord op te geven, dus dat gaan we ook niet doen. Zoek eerst maar eens uit wat RDP precies is en doet en bedenk wat je wil bereiken met je oplossing. Misschien dat je dan een gerichtere vraag kan stellen.
31-03-2022, 14:44 door Anoniem
Door Anoniem: Als je een applicatie wilt aanbieden zou ik dat niet via RDP doen, daarmee geef je immers veel meer dan enkel toegang tot de applicatie.
Wat af te schermen is.

Applicatie zomaar via een website aanbieden is ook een risico, immers daarmee komt je data lokaal en kan gecached worden.
31-03-2022, 15:27 door Anoniem
Nou ik denk eerder dat het die gast is die ook al wilde weten hoe je zorgt dat je op een desktop alleen je eigen applicatie kunt starten en niet heel Windows.
Kijk, dat probleem los je op met een web applicatie. Dan kun je alleen bij wat er toegankelijk is via de webserver. Bovendien is je applicatie dan (afhankelijk van de programmeeromgeving) meestal beter geisoleerd van het OS. Je kunt niet zomaar programma's starten waar je niet aan gedacht had, zoals cmd.exe of regedit.exe.

Maar bedenk wel: als je gebruik maakt van krachtige programmeeromgevingen met vele beschikbare handige libraries die door heel de wereld worden aangeleverd, dan gaat dat voordeel weer verloren. Immers je weet niet wat die libraries allemaal kunnen behalve wat je er van verwacht.
31-03-2022, 18:01 door Tintin and Milou - Bijgewerkt: 31-03-2022, 18:02
Door Anoniem:
Kijk, dat probleem los je op met een web applicatie. Dan kun je alleen bij wat er toegankelijk is via de webserver. Bovendien is je applicatie dan (afhankelijk van de programmeeromgeving) meestal beter geisoleerd van het OS. Je kunt niet zomaar programma's starten waar je niet aan gedacht had, zoals cmd.exe of regedit.exe.
Bij beide hangt dit af van de inricht.... Webapplicaties staan bekend om slechte SQL queries, brakke frameworks (jlog, spring4shell), of "open directories" op de webserver waar toevallig een complete database export op staat. Admin interface die niet goed beveiligd is/was.

Menige webserver bevat ook verouderde webserver software en is vaak "goed" toegankelijk voor iedereen vanaf het LAN of Internet.

Bij een website komt er ook veel meer data lokaal, dan op een RDP server, zeker als je ook data kunt downloaden vanaf die website.

Maar bedenk wel: als je gebruik maakt van krachtige programmeeromgevingen met vele beschikbare handige libraries die door heel de wereld worden aangeleverd, dan gaat dat voordeel weer verloren. Immers je weet niet wat die libraries allemaal kunnen behalve wat je er van verwacht.
Alles zelf programmeren, is ook een groot risico of programmeerfouten, vooral zelf het wiel fout uitvinden is een veel voorkomend issue.

Beide oplossingen hebben voor en nadelen en er is geen goed of fout. Zeker niet icm deze brakke informatie. Wat we wel vaker zien met dit soort anonieme 2 regels vragen. Lijkt redelijk op een huiswerkopdracht iedere keer.
01-04-2022, 10:17 door Anoniem
Door Tintin and Milou:
Maar bedenk wel: als je gebruik maakt van krachtige programmeeromgevingen met vele beschikbare handige libraries die door heel de wereld worden aangeleverd, dan gaat dat voordeel weer verloren. Immers je weet niet wat die libraries allemaal kunnen behalve wat je er van verwacht.
Alles zelf programmeren, is ook een groot risico of programmeerfouten, vooral zelf het wiel fout uitvinden is een veel voorkomend issue.
Nou ik zou in dit geval de nadruk willen leggen op de gevaarlijke trend om bij behoefte aan een wiel te grijpen naar
het Formule-1 wiel met alle high-tech features die er aan verbonden zijn als je alleen de behoefte hebt aan een fietswiel.
Je kunt wel denken "ach dat Formule-1 wiel rolt ook dus waarom zou ik mijn eigen wiel maken, zij kunnen dat veel beter"
maar dan kun je vroeg of laat geconfronteerd worden met een feature die je helemaal niet verwacht had en waarvan
je nooit verwacht had dat externe wiel ontwikkelaars ooit op het idee zouden kunnen komen om dat toe te voegen.

Je weet wel waar ik op doel.
02-04-2022, 09:33 door Xavier Ohole - Bijgewerkt: 02-04-2022, 09:35
Door Anoniem: Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

Het is alleen veiliger als je géén Microsoft Windows gebruikt voor de webserver (bij gebruik van Windows zijn de verschillen gerommel in de marge). Een veilige webserver heeft een zo klein mogelijk gehouden aanvalsoppervlak door geen onnodige functionaliteit te installeren. Géén GUI dus. Je zoekt dus een besturingssysteem dat de GUI netjes heeft gescheiden van de rest, zodat je er eenvoudig voor kan kiezen deze niet te installeren op ren server. Voorbeelden van dergelijke professionele besturingssystemen zijn Linux, FreeBSD, OpenBSD. Internetgiganten als bv. Google gebruiken exclusief Linux voor hun servers.
02-04-2022, 10:57 door Anoniem
Door Xavier Ohole:
Door Anoniem: Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

Het is alleen veiliger als je géén Microsoft Windows gebruikt voor de webserver (bij gebruik van Windows zijn de verschillen gerommel in de marge). Een veilige webserver heeft een zo klein mogelijk gehouden aanvalsoppervlak door geen onnodige functionaliteit te installeren. Géén GUI dus. Je zoekt dus een besturingssysteem dat de GUI netjes heeft gescheiden van de rest, zodat je er eenvoudig voor kan kiezen deze niet te installeren op ren server. Voorbeelden van dergelijke professionele besturingssystemen zijn Linux, FreeBSD, OpenBSD. Internetgiganten als bv. Google gebruiken exclusief Linux voor hun servers.
Complete onzin, je leeft in het verleden.

Office 365, de grootste mailomgeving werkt gewoon of IIS, onedrive, sharepoint...... Allemaal IIS.
GUI is natuurlijk ook complete onzin en een 1995 argument.
Lever mij 1 exploit voor IIS eens op, waarbij IIS wordt misbruikt icm een GUI vanuit Windows, of zelfs een IIS exploit van de laatste jaren?
https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html
Ik kon trouwens niets actueel vinden voor IIS. Maar misschien heb jij een betere bron?

Gerommel in de marge? Persoonlijk denk ik dat 4% best nog wel het nodige is, volgens netcraft maart 2022. Is het veel, zeker niet. maar gerommel in de marge.... Dan geef je toch aan, dan je de cijfers niet begrijpt of niet weet. Ik denk dat de meeste blij zouden zijn met "een gerommel in de marge" salaris verhoging.

Sterker nog, check eens hoeveel exploits er zijn voor IIS vs Apache of nginx. Of hoeveel webservers er gehacked zijn.... IIS komt dan eigenlijk niet voor, echt gerommel in de marge.

Een veilig webserver hangt meer af, van de programmeertaal die gebruikt wordt, dan het OS.
03-04-2022, 09:39 door Xavier Ohole
Door Anoniem:
Door Xavier Ohole:
Door Anoniem: Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

Het is alleen veiliger als je géén Microsoft Windows gebruikt voor de webserver (bij gebruik van Windows zijn de verschillen gerommel in de marge). Een veilige webserver heeft een zo klein mogelijk gehouden aanvalsoppervlak door geen onnodige functionaliteit te installeren. Géén GUI dus. Je zoekt dus een besturingssysteem dat de GUI netjes heeft gescheiden van de rest, zodat je er eenvoudig voor kan kiezen deze niet te installeren op ren server. Voorbeelden van dergelijke professionele besturingssystemen zijn Linux, FreeBSD, OpenBSD. Internetgiganten als bv. Google gebruiken exclusief Linux voor hun servers.
Complete onzin, je leeft in het verleden.

Nee hoor, Google servers draaien écht geen Windows, dat is nepnieuws. Sterker nog, Microsoft heeft haar eigen Linux variant voor haar servers (CBL-Mariner geloof ik).

Door Anoniem: Office 365, de grootste mailomgeving werkt gewoon of IIS, onedrive, sharepoint...... Allemaal IIS.
GUI is natuurlijk ook complete onzin en een 1995 argument.
Lever mij 1 exploit voor IIS eens op, waarbij IIS wordt misbruikt icm een GUI vanuit Windows, of zelfs een IIS exploit van de laatste jaren?
https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html

Een kind kan bedenken dat je het aanvalsoppervlak zo klein mogelijk moet houden en daar valt een onnodige GUI zeker onder. Een OS dat je niet eenvoudig zonder GUI kan installeren, om zo een servervariant te krijgen, heeft een totaal onnodige en onbegrijpelijke verstrengeling van functionaliteiten en is amateuristisch te noemen. Heel amateuristisch.

Door Anoniem: Ik kon trouwens niets actueel vinden voor IIS. Maar misschien heb jij een betere bron?

Je kan niets vinden over IIS? Waarschijnlijk omdat geen zichzelf respecterend bedrijf dat nog gebruikt.

Door Anoniem:Gerommel in de marge? Persoonlijk denk ik dat 4% best nog wel het nodige is, volgens netcraft maart 2022. Is het veel, zeker niet. maar gerommel in de marge.... Dan geef je toch aan, dan je de cijfers niet begrijpt of niet weet. Ik denk dat de meeste blij zouden zijn met "een gerommel in de marge" salaris verhoging.

Sterker nog, check eens hoeveel exploits er zijn voor IIS vs Apache of nginx. Of hoeveel webservers er gehacked zijn.... IIS komt dan eigenlijk niet voor, echt gerommel in de marge.

Waar heb je het over?

Door Anoniem: Een veilig webserver hangt meer af, van de programmeertaal die gebruikt wordt, dan het OS.

Niet de programmeertaal voor de webserver maar gebruik van PHP sites en Windows voeren het veld aan.
05-04-2022, 13:36 door Anoniem
Door Xavier Ohole:
Door Anoniem: Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

Het is alleen veiliger als je géén Microsoft Windows gebruikt voor de webserver (bij gebruik van Windows zijn de verschillen gerommel in de marge). Een veilige webserver heeft een zo klein mogelijk gehouden aanvalsoppervlak door geen onnodige functionaliteit te installeren. Géén GUI dus. Je zoekt dus een besturingssysteem dat de GUI netjes heeft gescheiden van de rest, zodat je er eenvoudig voor kan kiezen deze niet te installeren op ren server. Voorbeelden van dergelijke professionele besturingssystemen zijn Linux, FreeBSD, OpenBSD. Internetgiganten als bv. Google gebruiken exclusief Linux voor hun servers.

Kleine nitpick:

Windows Server is ook heel goed te installeren en te gebruiken zonder GUI. Dit is echt niet alleen een LInux/Unix ding.
05-04-2022, 15:11 door Anoniem
Door Anoniem:
Door Xavier Ohole:
Door Anoniem: Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

Het is alleen veiliger als je géén Microsoft Windows gebruikt voor de webserver (bij gebruik van Windows zijn de verschillen gerommel in de marge). Een veilige webserver heeft een zo klein mogelijk gehouden aanvalsoppervlak door geen onnodige functionaliteit te installeren. Géén GUI dus. Je zoekt dus een besturingssysteem dat de GUI netjes heeft gescheiden van de rest, zodat je er eenvoudig voor kan kiezen deze niet te installeren op ren server. Voorbeelden van dergelijke professionele besturingssystemen zijn Linux, FreeBSD, OpenBSD. Internetgiganten als bv. Google gebruiken exclusief Linux voor hun servers.

Kleine nitpick:

Windows Server is ook heel goed te installeren en te gebruiken zonder GUI. Dit is echt niet alleen een LInux/Unix ding.
Dat is niet waar. GUI software blijft aanwezig. Vertel het commando waarmee je de GUI software kan verwijderen? Dat is er niet want het is verweven met het OS, door sommigen spaghetti code genoemd.
Onderzoek laat zien dat 95% van de ellende windows based is, dan is het zeer verstandig om geen windows te gebruiken, vooral ook omdat de http stack met admin rechten draait en je hele server dus wordt versleuteld indien de gehackt.
https://www.theregister.com/2021/10/14/googles_virustotal_malware/
05-04-2022, 15:24 door Anoniem
Door Anoniem:
Door Xavier Ohole:
Door Anoniem: Waarom is het veiliger om een applicatie via een Webserver aan te bieden dan via RDP?
Is dat omdat je bij RDP toegang tot het hele systeem hebt of zijn er andere argumenten daarvoor?

Het is alleen veiliger als je géén Microsoft Windows gebruikt voor de webserver (bij gebruik van Windows zijn de verschillen gerommel in de marge). Een veilige webserver heeft een zo klein mogelijk gehouden aanvalsoppervlak door geen onnodige functionaliteit te installeren. Géén GUI dus. Je zoekt dus een besturingssysteem dat de GUI netjes heeft gescheiden van de rest, zodat je er eenvoudig voor kan kiezen deze niet te installeren op ren server. Voorbeelden van dergelijke professionele besturingssystemen zijn Linux, FreeBSD, OpenBSD. Internetgiganten als bv. Google gebruiken exclusief Linux voor hun servers.

Kleine nitpick:

Windows Server is ook heel goed te installeren en te gebruiken zonder GUI. Dit is echt niet alleen een LInux/Unix ding.
Je doelt om windows core. Mooi voorbeeld van onvermogen. Als je dan later besluit om de GUI aan te zetten (want het staat er op maar is geblokkeerd) mag je windows opnieuw installeren, het is geen pakketje wat je alsnog kan installeren zoals onder elke UNIX kloon. Inflexibele lage kwaliteit software. Dat blijkt ook uit Azure (bolwerk van windowsklanten) , waar tegenwoordig 2/3 een Linux server is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.