freddehmel
Goto Top

Non-standard-Ports für RDP

Hallo,
wir sind an mehreren Stellen auf RDP-Zugänge angewiesen. Wir setzen hier neben zeitnahen Patches und NLA auf Verwendung von non-standard-Ports. Also z.B. statt 3389 xxxxx.
Wie sinnvoll ist das im Kontext der aktuellen RDP-Schwachstelle? Hat jemand Infos zur Funktionsweise? Werden dann die präparierten RDP-Pakete direkt auf den Standard-Port gesandt oder ist das so "intelligent", dass vorher geprüft wird, wo RDP läuft oder ... ?

Fred

Content-ID: 485450

Url: https://administrator.de/contentid/485450

Ausgedruckt am: 25.11.2024 um 02:11 Uhr

chgorges
chgorges 15.08.2019 um 08:11:51 Uhr
Goto Top
Zitat von @Freddehmel:

Hallo,
Hi,
wir sind an mehreren Stellen auf RDP-Zugänge angewiesen. Wir setzen hier neben zeitnahen Patches und NLA auf Verwendung von non-standard-Ports. Also z.B. statt 3389 xxxxx.
Wie sinnvoll ist das im Kontext der aktuellen RDP-Schwachstelle?
Gar nicht, Portmasquerade ist nur ein Hinauszögern, keine Verhinderung.
RDP in 2019 nur über VPN, oder eben gar nicht. Alles andere ist grob fahrlässig und bringt euch in Teufels Küche.
NordicMike
NordicMike 15.08.2019 um 08:14:44 Uhr
Goto Top
Ich habe es so gelesen, dass Microsoft die Lücke selbst gefunden hat und es noch keine Exploids gäbe. Es liegt also an denjenigen, der den Exploid schreibt, wie intelligent er ihn baut. Ein Portscan ist einfach. Jeden gefundenen offenen Port zu untersuchen, auch.

Wie immer heißt es: RDP niemals öffentlich, nur mit VPN.
EDVMan27
EDVMan27 15.08.2019 aktualisiert um 08:49:19 Uhr
Goto Top
Moin,

kann ich so bestätigen.
Es ist nur eine Frage der Zeit bis Ihr unfreundlichen Besuch und einen Crypto-Trojaner bekommt.

Fail2Ban hilft auch nur wenig, da viele Angreifen über hunderte IP-Adressen auf der ganzen Welt verfügen.

Und dann ist da auf einmal doch der User "Scan" mit dem Kennwort "Scan" den irgendwann irgendjemand irgendwo aml als Dom-Admin eingerichtet hat. Und Zack und vorbei.

Also entweder VPN oder ein Sicherheitsgateway.

##Link entfernt
SeaStorm
SeaStorm 15.08.2019 um 08:19:43 Uhr
Goto Top
Hi

wenn der Bot deine IP Scannt, dann findet der den Port trotzdem. Und auf welchem Port der Dienst läuft ist für die Sicherheitslücke egal.

Dein System ist also potentiell schon kompromitiert. Lass den ###, das ist fahrlässig.

Für sowas gibt's erstens die gute alte VPN und zweitens RDP Gateways.
Da läuft das alles dann getunnelt über SSL. Macht das ganze zwar nur ein bisschen sicherer, aber immerhin.