alchemy
Goto Top

RDP unverschlüsselt via Internet abfangen

Hallo,

ich hab einmal grundsätzliche Fragen zum Thema RDP via Internet.

Grundlegend bauen wir (bzw unsere Kunden) ihre RDP Verbindungen fast ausschließlich durch einen VPN Tunnel auf. Das ist auch gut so und wir wissen alle das es nur so (oder anderweitig verschlüsselt) gemacht werden sollte.

Was ich mich frage und wo ich auch beim Kunden immer wieder "Erklärungsnot" gerate ist, wie genau kann eine Verbindung von Zb. Home-PC -> Offener Port -> Server .. Abfabgen und /oder mitgelesen werden?

Welche Gefahren birgt eine ungesicherte Verbindung, welche auf eine Qell-IP Adresse eingeschränkt wurde? Soll heisen, in der FW ist festgelegt das Port zB 3389 nur von einer bestimmten ext. IP zu erreichen ist.

Die Gefahren das durch einen offenen Port direkt auf den Server (welcher von ANY zu erreichen ist) die "Hacker" sich austoben können ist bekannt und möchte ich hier nicht abhandeln.

Ich bitte von wüsten Anfeindungen wie ich sowas absurdes überhaupt fragen kann abzusehen. Mein Ziel ist es nicht diese Vorgehensweise schönzureden, sondern nachdem wir uns alle mit Verschlüsselung und VPN auseinandergesetzt haben, auch einmal die andere Seite zu beleuchten.

Danke an alle face-smile

Content-Key: 176443

Url: https://administrator.de/contentid/176443

Printed on: July 24, 2024 at 05:07 o'clock

Mitglied: 60730
60730 Nov 18, 2011 at 10:43:02 (UTC)
Goto Top
moin,

ganz einfach..

  • lege einen Benutzer Username mit dem Password Geheim auf deinem Server an, und erlaube dem den RDP Zugriff.
  • Du nimmst irgendeinen freien Netzwerk-Sniffer und hörst mal zu, was der macht - während dem du dich anmeldest und das log druckst du dir aus.

Mehr muß man da nicht sagen.

Gruß
Member: Lochkartenstanzer
Lochkartenstanzer Nov 18, 2011 at 11:21:09 (UTC)
Goto Top
zusätzlich zu dem was TimoBeil sagt, kannst Du noch ein traceroute vom Client zum server machen (über Internet natürlich).

Dann kannst Du dem Kunden erklären, daß jeder dieser System die da auftauchen oder auch ein weiteres System, daß mit diesen an derselben Leitung hängt im Prinzip die Daten, die Du per sniffer mitgeschnitten hast, genauso hätte mitschneiden können.

lks
Member: Alchemy
Alchemy Nov 18, 2011 at 13:39:55 (UTC)
Goto Top
Hallo,

soweit ist alles klar. Aber wie sieht der Einstiegspunkt aus, wenn jetzt zB jemand die Absicht hat den unvorsichtigen Kunden zu entern. Weil IMHO gibt es ja keine effektive Möglichkeit sich in den Datenverkehr Router - Router zu hängen, außer man klickt sich in einen Knotenserver, was wiederum ziemlich aufwändig wäre.

Oder hab ich hier einen Denkfehler?

Ich versuche nur mögliche Gegenargumente mit Fakten totzukriegen.
Member: Lochkartenstanzer
Lochkartenstanzer Nov 18, 2011 at 14:37:14 (UTC)
Goto Top
Viele Provider haben für Wartungszwecke Standard-Hardware (z.B. Cisco, Juniper), diese haben auch Ihre Softwaremacken und 0-day-exploits.

Nachdem viele russische, chinesische und amerikanische "Suchmaschinen" sehr genau katalogisieren, welche Hard- und Software in welcher Revision wo arbeitet, ist es nur eine Sache von Minuten, bis durch einen 0-day-exploit so ein Router umkonfiguriert ist.

Außerdem arbeiten bei den Providern auch nur Menschen, die nicht immun gegen Verlockungen von Geld oder Schraubenschlüsseln sind.

Auch Nachrichtendienste haben direkten Zugriff auf die Daten, manchmal offiziell, manchmal inoffiziell.

Die Router zwischen Client und Server sind daher alle als nicht vertrauenswürdig anzusehen!

lks

PS: In der Szene kursieren auch des öfteren Wartungspaßwörter von Provider-Routern.

PPS: Es reicht, BGP passend zu konfigurieren und schon kannst Du Traffic für ein beliebiges AS bei Dir aufschlagen lassen.

nachtrag:

Das Umleiten beliebigen Traffics ist heutzutage auch nur eine Fingerübung. Die Kunst liegt eher darin, daß so zu tun, daß es keinem auffällt.
Member: dog
dog Nov 19, 2011 at 01:32:39 (UTC)
Goto Top
Zum einen ist DSL vollkommen unverschlüsselt und die APLs meistens außen am Haus - da kann sich jeder problemlos draufstecken.
Dann geht der Datenverkehr im Internet über haufenweise Knoten. Du weißt nie, ob an einem mal grade wer dem Azubi zeigen will wie man Passwörter mitlesen kann - und da die Hardware auch alle in den USA verkauft wird haben die Abhörfunktionen ohnehin On-Board (Stichwort: Calea).
Zumindest in den USA ist es Standard an jedem größeren Netzknoten ein Network Tap zu haben, das jeden Datenverkehr der Netze auf Server der Behörden spiegelt.
Die BGP-Nummer ist zwar möglich, aber das ist doch schon eine ziemlich aufwendige Nummer (nur wenige haben die Möglichkeit und es würde sofort entdeckt).
Member: Lochkartenstanzer
Lochkartenstanzer Nov 19, 2011 at 08:04:36 (UTC)
Goto Top
Danke DOG, Du hast es besser formuliert als ich.

Die BGP-Nummer habe ich erwähnt, weil das auch breiter in die Öffentlichkeit gertagen wurde und auch für Normalanwender nachvollziehbar ist. Die anderen Geschichten wie die Abhörschnittstellen oder die Adminpaßwörter, die im Netz kursieren, weil der Azubi mal meinte, seine Kumpels beieindrucken zu müssen. werden halt seltenst bekannt.

lks