nikasio14
Goto Top

Sicherheit bei Port-Forwarding - Virusbefall - wer kommt für die Kosten auf?

Hallo! Danke für die automatische Aufnahme ins Forum!

Wie im Titel erwähnt, geht es um die Kosten bei einem Virus-Befall und wer eurer Meinung nach mehr Mist gebaut hat. Zur Wahl steht der
- Software-Betreuer oder
- lokaler EDV-Betreuer

Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Hier kommt das Problem und der Software-Betreuer ins spiel:
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.

Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt und der Software-Mensch ist der Buhmann, hat ja vorher alles funktioniert. Oder doch nicht?

Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14

Content-Key: 385401

Url: https://administrator.de/contentid/385401

Printed on: March 1, 2024 at 18:03 o'clock

Member: St-Andreas
St-Andreas Sep 04, 2018 at 15:31:33 (UTC)
Goto Top
Hallo,

Script-Kiddie mit Verschlüsselungstrojaner?

Sicher das die Portweiterleitung und der Schaden ursächlich zusammenhängen?
Wenn ja, was macht Dich so sicher?
Member: Pjordorf
Pjordorf Sep 04, 2018 at 15:46:23 (UTC)
Goto Top
Hallo,

Zitat von @nikasio14:
Hallo! Danke für die automatische Aufnahme ins Forum!
Willkommen.

Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein,
Auch wenn dieser auf einen PC ein Portfowarding einrichtet, kommt noch lange keiner da dran, es sei das schon ein Portforwarding auf euren Router zu genau diesem einen PC eingerichtet war. Und wo geht das Portforwarding denn überhaupt hin (Ziel IP)?

damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann.
Was hat jetzt der Kunde von eurem EDV-Betreuer mit Zugriff per RDP auf eure Rechner zu tun?

Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Das stimmt zwar, aber kein EDV-Betreuer der schon mal was von Sicherheit gehört hat macht das ohne VPN, es sei denn er spielt gern Russisch Roulette.

Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Und was hat das jetzt mit dem Portforwarding für RDP zu tun?

Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort
Da ein Ping nicht über euren Internetrouter hinweg kommt, Antwortet nur eurer Router. Was anderes wenn ein Nicht Skript-Kiddy Ports mit erweiterten Mitteln durchtestet und euren RDP findet. Daher ist ein VPN dafür einfach Pflicht.

und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt
Und an allem ist nur ein Skript-Kiddy beteiligt? Oder kann es ncit doch anderer Ursachen wie eine Mail sein neben den falschen Umgang mit Freigaben und gespeicherten Administartor Passwörtern. Es fehlen noch weitere Informationen um sich ein Bild des hergangs tatsächlich auf Portforwardung an/auf ein PC, RDP, Installation einer Software, Skript-Kiddy eindeutig zu schliessen.

Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Der Schuldige ist immer der Gärtnerface-smile

Gruß,
Peter
Member: falscher-sperrstatus
falscher-sperrstatus Sep 04, 2018 at 16:26:45 (UTC)
Goto Top
Hallo Nikasio,

warum richtet der Softwarebetreuer denn bitte einen Admin ein (zu dem mit Standard-PW)?

Allerdings genauso fragwürdig: RDP Zugriff auf den PC von extern.

Aber in Summe: Was wurde definiert? Was war erlaubt? Im Zweifelsfall keiner, wenn der Kunde des abgesegnet hat. Mit Ruhm bekleckert sich allerdings dabei weder EDV-, noch Software-Betreuer.

Aber um die Ecke haben wir die Anfrage, warum professionelle IT-Einrichtung so teuer ist ($-Zeichen im Auge...)...nunja..

VG
Member: Vision2015
Vision2015 Sep 04, 2018 at 18:10:33 (UTC)
Goto Top
Moin...
Zitat von @nikasio14:

Hallo! Danke für die automatische Aufnahme ins Forum!
gerne..

Wie im Titel erwähnt, geht es um die Kosten bei einem Virus-Befall und wer eurer Meinung nach mehr Mist gebaut hat. Zur Wahl steht der
- Software-Betreuer oder
- lokaler EDV-Betreuer
warum?

Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
hm... das ist nicht so schön... hat aber nix mit einem Virusbefall zu schaffen!
Hier kommt das Problem und der Software-Betreuer ins spiel:
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
ok..

Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt und der Software-Mensch ist der Buhmann, hat ja vorher alles funktioniert. Oder doch nicht?
das ist doch unfug, in der regel bekommst du eine Mail mit allem zip und zap, die wird auch brav geöffnet... und schon ist es passiert!
das haben 99% aller kunden, die sich sowas einfangen!
ein download im WWW wird auch gerne genommen face-smile
allerdings frage ich mich warum ihr kein ordentliches AV programm habt... Kaspersy kann da schon serverseitig helfen- da hört der krypto nach ca. 2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!

Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Frank
Member: falscher-sperrstatus
falscher-sperrstatus Sep 04, 2018 at 18:12:59 (UTC)
Goto Top
allerdings frage ich mich warum ihr kein ordentliches AV programm habt... Kaspersy kann da schon serverseitig helfen- da hört der krypto nach ca.
2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!

ist aber doch alles so teuer... face-wink
Member: Vision2015
Vision2015 Sep 04, 2018 at 18:14:11 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

allerdings frage ich mich warum ihr kein ordentliches AV programm habt... Kaspersy kann da schon serverseitig helfen- da hört der krypto nach ca.
2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!

ist aber doch alles so teuer... face-wink
jetzt wo du es sagst.... face-smile

Frank
Member: falscher-sperrstatus
falscher-sperrstatus Sep 04, 2018 at 18:19:08 (UTC)
Goto Top
...und der Einrichter (der damit z.t - je nach dem) einige Zeit und viel Vorbereitungswissen rein steckt hat doch nur die Dollarzeichen im Auge...
Member: Vision2015
Vision2015 Sep 04, 2018 at 18:28:01 (UTC)
Goto Top
hm...
Zitat von @falscher-sperrstatus:

...und der Einrichter (der damit z.t - je nach dem) einige Zeit und viel Vorbereitungswissen rein steckt hat doch nur die Dollarzeichen im Auge...

mein Haus, mein Auto, mein Pool, meine Katzen, mein Hund, meine Frau, meine Freundinen & Mätressen, meine Stunden beim Tätowierer, ausgiebige Kneipen und Restaurant besuche, meine Private Krankenversicherung, Mitarbeiter etc... wollen auch leben!
Ergo... ohne $ in den Augen, geht es leider nicht!

Allerdings, der Auftrag, alles neu und Ordentlich zu machen, ist in der regel auch nicht von schlechten Eltern face-smile
hab mir grade ein neues Mac Book pro bestellt und ein surface go... face-smile

Frank
Mitglied: 117471
117471 Sep 04, 2018 at 19:41:57 (UTC)
Goto Top
Hallo,

in meinen Augen sind das beides Vollidioten.

50:50

Gruß,
Jörg
Member: StefanKittel
StefanKittel Sep 04, 2018 updated at 20:13:15 (UTC)
Goto Top
Hallo,

das ist eine gute Frage für einen Anwalt.

Im Zweifel wie immer keiner solange man nichts beweisen kann.
Du Hast ja "nur" die verschlüsselte Platte und die Änderungszeiten der Verzeichnisse.
Das kann man ja alles fälschen solange es keinen Gutachter und forensische Beweisaufnahme gibt. Auch kann der Kunde ja eine böse Email geöffnet haben.

Die besten Möglichkeiten hast Du wenn es ein Lieferant mit bestehendem Vertrag ist.
Mit dem kann man sich meist finanziell einigen.

Da die Kosten für eine Neuinstallation meist recht gering sind (<1000 Euro) lohnt sich auch kein Prozess.
Denn den Datenverlust kann der Kunde nicht einklagen, da er ja eine Datensicherung hätte machen können/müssen sie so etwas übersteht.

Unfreundliche Besucher über RDP mit Portweiterleitung eines Clients passieren immer mal wieder.
Ich hatte schon 4 neue Kunden die so einen Fall hatten in den letzten 2-3 Jahren.

1x wurde das Kennwort des Kunden erraten.
3x gab es einen Admin/Benutzer mit einfachem Kennwort (z.B. scan/scan) (Denn jeder Admin ist in der RDP-Gruppe).

Also: RDP immer schöne mit VPN oder einem Sicherheitsgateway (z.B. https://secureaccess.pro/ (Eigenwerbung)) absichern.

Viele Grüße

Stefan
Member: falscher-sperrstatus
falscher-sperrstatus Sep 04, 2018 at 20:37:53 (UTC)
Goto Top
Moin Stefan,
warum ist scan/scan denn überhaupt Admin?..

Wie funktioniert dein Sicherheitsgateway denn?

oder bspw eine Sophos SG mit RDP Gateway, dazu gerne eine PN (Achtung Eigenwerbung face-wink )

LG
Member: the-buccaneer
the-buccaneer Sep 04, 2018 at 21:05:54 (UTC)
Goto Top
Willkommen!

Das meiste ist ja schon gesagt, aber einem Softwarebetreuer, der in dem von mir betreuten Netzwerk lustig User und Admins mit RDP-Rechten und Standardpasswörtern einrichtet, würde ich was husten! Was macht dich so sicher, dass das Angriffszenario so abgelaufen ist?

Was du beschreibst ist aber zu allgemein und wahrscheinlich sachlich auch falsch ("Skriptkiddie" etc.) um konkreter zu antworten.

Vorher hat es definitiv funktioniert und war auch hinreichend sicher, denn das RDP-Protokoll gilt bei ausreichend starken Passwörtern als "sicher". (Es ist sicherer als VNC!)

Die Sicherheitslücke war ein nicht ausreichend gesicherter Admin-Account, der von der "Software" angelegt wurde.
Wenn der "EDV-Betreuer" über das Anlegen dieses Users informiert wurde, sieht es anders aus, denn da hätte er reagieren können. face-wink

Es klingt so, als seiest du der Sotwarebetreuer. Mein Beileid, dumm gelaufen...
Wäre mir der Klops passiert, würde ich versuchen, mich mit dem Kunden zu einigen. (z.B. Neuaufsetzen des Systems übernehmen oder wenn ein Backup da war, dem Kunden ein Kontingent an Arbeitszeit gutschreiben etc.pp.)
Alles ohne juristisches Schuldeingeständnis als "Kulanz"

Wenn kein Backup da war und es um relevante Beträge als Schadenerstz geht: Dringend (Fach-) Anwalt konsultieren!

Shit happens. face-wink

Buc

Trotzdem ein tolles Beispiel dafür, warum man ein VPN einrichtet. Ich erkläre es den Kunden gerne so:
Wollen sie, dass ihr PC vor der Haustür steht und die ganze Welt versuchen kann, sich einzuloggen, oder ist es nicht sicherer, wenn da noch eine abgeschlossene Haustür davor ist?
Niemand wollte seinen Rechner bisher virtuell auf die Strasse stellen. face-wink
Member: nikasio14
nikasio14 Sep 05, 2018 at 05:08:47 (UTC)
Goto Top
Zitat von @the-buccaneer:

Es klingt so, als seiest du der Sotwarebetreuer. Mein Beileid, dumm gelaufen...
Wäre mir der Klops passiert, würde ich versuchen, mich mit dem Kunden zu einigen. (z.B. Neuaufsetzen des Systems übernehmen oder wenn ein Backup da war, dem Kunden ein Kontingent an Arbeitszeit gutschreiben etc.pp.)
Alles ohne juristisches Schuldeingeständnis als "Kulanz"


Shit. Ertappt.

Zitat
Trotzdem ein tolles Beispiel dafür, warum man ein VPN einrichtet. Ich erkläre es den Kunden gerne so:
Wollen sie, dass ihr PC vor der Haustür steht und die ganze Welt versuchen kann, sich einzuloggen, oder ist es nicht sicherer, wenn da noch eine
abgeschlossene Haustür davor ist?

Ja, das dachte ich mir auch.
Die Benutzerkonten wurden von der Installationsroutine erstellt, im weiteren Einrichtungsprozess lösche ich die Konten wieder.
Ist nen altes XP-Überbleibsel mit Anmeldung über Benutzerkonten für bestimmte Verzeichnisfreigaben mit Schreibrechten - heutzutage macht das ja die Anmeldeinformationsverwaltung, aber in den Installations-Routinen ist's noch mit drin.

Ja, das Port-Forwarding war direkt vom Router auf den PC eingerichtet, laut EDV-Betreuer und windigen "Zugriffsprotokollen" Hätte sich tatsächlich jemand eingeloggt, darüber den Virenschutz deaktiviert und den Crypto händisch installiert...

Zitat von Vision2015
das ist doch unfug, in der regel bekommst du eine Mail mit allem zip und zap, die wird auch brav geöffnet... und schon ist es passiert!
das haben 99% aller kunden, die sich sowas einfangen!

Hätte ich sonst auch so erwartet - Klassiker über irgendwelche "Bewerbungen"...

Zitat
Vorher hat es definitiv funktioniert und war auch hinreichend sicher, denn das RDP-Protokoll gilt bei ausreichend starken Passwörtern als
"sicher". (Es ist sicherer als VNC!)

Woher kommt diese Info?
Wenn der Rechner "vor der Tür steht" (toller Vergleich btw.!), ist er dann nicht auch für andere Protokolle erreichbar und damit für andere Angriffe?

Danke an alle für eure vielfältigen Antworten!! face-big-smile
Member: nikasio14
nikasio14 Sep 05, 2018 updated at 05:19:00 (UTC)
Goto Top

in meinen Augen sind das beides Vollidioten.


Klar, hinterher ist man immer schlauer.

Gruß Nikasio14
Member: nikasio14
nikasio14 Sep 05, 2018 at 05:17:56 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Hallo Nikasio,

warum richtet der Softwarebetreuer denn bitte einen Admin ein (zu dem mit Standard-PW)?

Installationsroutine, eine Reihe vorgefertigter Batches, die seit XP-Zeiten niemand mehr erneuert hat... ^^

Allerdings genauso fragwürdig: RDP Zugriff auf den PC von extern.

Schon, oder!? ...

Aber in Summe: Was wurde definiert? Was war erlaubt? Im Zweifelsfall keiner, wenn der Kunde des abgesegnet hat. Mit Ruhm bekleckert sich allerdings dabei weder EDV-, noch Software-Betreuer.

Klar. Definiert war erst mal nichts, außer Installation und Einrichtung der Software fürs Netzwerk.

Aber um die Ecke haben wir die Anfrage, warum professionelle IT-Einrichtung so teuer ist ($-Zeichen im Auge...)...nunja..

Klar, auch einer der Gründe, warum ich da gerne mit professionellen Hardware-Betreuern zusammen arbeite. face-wink

CertifiedIT.net , wo bist du denn unterwegs?
Member: nikasio14
nikasio14 Sep 05, 2018 at 05:32:23 (UTC)
Goto Top
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein,
Auch wenn dieser auf einen PC ein Portfowarding einrichtet, kommt noch lange keiner da dran, es sei das schon ein Portforwarding auf euren Router zu genau diesem einen PC eingerichtet war. Und wo geht das Portforwarding denn überhaupt hin (Ziel IP)?

Portforwarding Router -> PC, der Rechner hat ne statische IP und der Router ne fixe IP vom Provider.

damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann.
Was hat jetzt der Kunde von eurem EDV-Betreuer mit Zugriff per RDP auf eure Rechner zu tun?

Ein Kunde, zwei Firmen, die auf den selben PCs arbeiten.

Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Das stimmt zwar, aber kein EDV-Betreuer der schon mal was von Sicherheit gehört hat macht das ohne VPN, es sei denn er spielt gern Russisch Roulette.
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Und was hat das jetzt mit dem Portforwarding für RDP zu tun?

Dass jeder "Vollidiot" es schafft, sich auf den Rechner ein zu wählen, über Internet mit RDP, sobald er den offenen Port findet.

Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort
Da ein Ping nicht über euren Internetrouter hinweg kommt, Antwortet nur eurer Router. Was anderes wenn ein Nicht Skript-Kiddy Ports mit erweiterten Mitteln durchtestet und euren RDP findet. Daher ist ein VPN dafür einfach Pflicht.

Lt. EDV-Betreuer ist genau das passiert.

und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt
Und an allem ist nur ein Skript-Kiddy beteiligt? Oder kann es ncit doch anderer Ursachen wie eine Mail sein neben den falschen Umgang mit Freigaben und gespeicherten Administartor Passwörtern. Es fehlen noch weitere Informationen um sich ein Bild des hergangs tatsächlich auf Portforwardung an/auf ein PC, RDP, Installation einer Software, Skript-Kiddy eindeutig zu schliessen.

Der EDV-Betreuer hat natürlich alles "sichergestellt und für die Beweismittelkette kopiert"...
So einen Gegenwind von Fachausdrücken habe ich schon lange nicht mehr bekommen ^^

Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Der Schuldige ist immer der Gärtnerface-smile

Oder doch nur die unschuldige süße Mietzekatze?
Member: StefanKittel
StefanKittel Sep 05, 2018 updated at 06:14:32 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:
warum ist scan/scan denn überhaupt Admin?..
Tja, das weis wohl nur der Kopierer-Techniker. Vermutlich hat er sich damit am Server angemeldet weil es einfacher ist.

Wie funktioniert dein Sicherheitsgateway denn?
https://secureaccess.pro ist technisch gesehen ein TCP-Port-Forwarder mit Weboberfläche.
Nach einer Anmeldung wird eine Port-Weiterleitung aktiviert.
Am Zielsystem wird im Router oder PC/Server ein IP-Filter für RDP aktiviert.
Damit ist der RDP-Port aus dem Internet nicht mehr erreichbar.

Es findet keine Verschlüsselung wie bei VPN statt. Die aktuelle Verschlüsselung von RDP mit Auth auf Netzwerkebene gilt allgemein als sehr sicher.
Das Problem sind eher Sicherheitslücken im OS und schlechte Kennwörter. Beides ist damit gelöst.

Es ist nicht ganz so sicher wie ein VPN, aber viel günstiger sowie einfacher und schneller einzuführen.
IP-Filter einrichten, Benutzer anlegen, Zugangsdaten verteilen, fertig. Man muss nichts auf den Endgeräten installieren oder einrichten.

So wäre ein Ablauf der Installation und des Zugriffes.
https://secureaccess.pro/beispielinstallation/

Viele Grüße

Stefan
Member: StefanKittel
Solution StefanKittel Sep 05, 2018 at 05:43:44 (UTC)
Goto Top
Moin,

"schuld" sind Beide und zahlen muss wie immer der Kunde.

Eine RDP-Weiterleitung ohne VPN oder Sicherheitsgateway einzurichten ist fahrlässig.
Das wird auch jeder Richter so sehen.

Aber mit etwas Glück, guten Zugangsdaten, regelmäßiger Installation aller OS-Sicherheitsupdates, Korrekter RDP-Einstellungen und keinen Geisterbenutzern kann das sehr lange ohne unfreundliche Besucher funktionieren.

Eine Software die ungefrage Administrator mit Standardzugangsdaten anleget ist grob fahrlässig.
Hier ist die Frage ob es sogar eine Informationspflicht an die Polizeit und das BSI gibt, der Hersteller alle Kunden informieren und überall kostenfreie Updates anbieten muss.

Gäbe es die RDP-Weiterleitung nicht würde es nicht zu diesem Problem führen.
Aber Jemand vor Ort könnte sich auf die gleiche Art und Weise Zugriff verschaffen.
Ich arbeite seit 15 Jahren für Zahnärzte. Ich denke ich könnte in 50% der System vor Ort innerhalb von Minuten einbrechen. Was ich natürlich NICHT mache.

Das aktuelle Problem tritt aber nur in der Kombination auf und damit sind beide Schuld.
Ob man von denen Geld bekommt glaube ich eher weniger.
Wie Oben beschrieben ist der Schaden zu gering.

EDV = Ende der Vernunft

Viele Grüße

Stefan
Member: nikasio14
nikasio14 Sep 05, 2018 updated at 05:49:07 (UTC)
Goto Top
Zitat von @StefanKittel:
Es findet keine Verschlüsselung wie bei VPN statt. Die aktuelle Verschlüsselung von RDP mit Auth auf Netzwerkebene gilt allgemein als sehr sicher.
Das Problem sind eher Sicherheitslücken im OS und schlechte Kennwörter. Beides ist damit gelöst.

Spannender Ansatz! face-wink

Tja, das weis wohl nur der Kopierer-Techniker. Vermutlich hat er sich damit am Server angemeldet weil es einfacher ist.

?? Einen Kopierer-Techniker gibt's hier nicht ^^ face-wink
scan/scan war admin/admin, aber richtig, so war das.

Danke Stefan, ich gebe deinen Ansatz bei uns mal an die Haus-IT weiter.
Gerade wenn das System Enduser-freundlich ist, sicher eine interessante Alternative zu OpenVPN.

LG Nikasio14
Member: nikasio14
nikasio14 Sep 05, 2018 at 05:57:35 (UTC)
Goto Top
Danke nochmal, Stefan.

Ich glaube, der Beitrag bringt es echt auf den Punkt!

Hier ist die Frage ob es sogar eine Informationspflicht an die Polizeit und das BSI gibt, der Hersteller alle Kunden informieren und überall kostenfreie Updates anbieten muss.
Nur die Installationsroutine, später natürlich nicht mehr - und da die Installation vor Ort durchgeführt wird, gab's bisher keinen Handlungsbedarf und die Benutzer wurden im Nachhinein verändert/gesichert/entfernt.

Ich arbeite seit 15 Jahren für Zahnärzte. Ich denke ich könnte in 50% der System vor Ort innerhalb von Minuten einbrechen. Was ich natürlich NICHT mache.
Ich bin für eine ähnliche Branche unterwegs, kenne das Thema face-wink

Liebe Grüße und frohes Schaffen face-wink Kaffee olé.
Member: rickstinson
rickstinson Sep 05, 2018 at 06:55:14 (UTC)
Goto Top
Ich würde auch sagen das beide fahrlässig gehandelt haben.

Jedoch sehe ich das Portforwarding schwerwiegender, da man hier der gesamten Welt die Tür öffnet. (=finde ich grob fahrlässig)
Der lokale Benutzer mit schwachen Passwort würde "nur" im lokalen Netzwerk ein Problem machen. (= finde ich fahrlässig)

Die Frage ist, ob der Angreifer auch wirklich über RDP reinkam, eventuell kann man das noch über das eventlog nachvollziehen.
Member: falscher-sperrstatus
falscher-sperrstatus Sep 05, 2018 at 06:57:24 (UTC)
Goto Top
Das nicht erneuern von Installationsroutinen seit Windows XP (2018;) ) ist natürlich auch nicht optimal...super Konstellation.

Zur Frage nach den Zugriffen, wenn nur RDP (was ich vermute) weitergeleitet wurde, dann ist das nur RDP bzw eben Port 3389. Darüber kann man dann natürlich versuchen was durchzuschleussen, das dürfte aber nur funktionieren, wenn der dahinterstehende RDP Server (des Clients) ungepatcht ist - oder eben per PW.

Logisch.

Du meinst örtlich? Sitzen in Ulm, aber de facto ganzer DACH-Raum plus ggf. angrenzende Länder je nach Kundenanforderung. Funktioniert durch ordentliche Planung auch alles Reibungslos.
Member: falscher-sperrstatus
falscher-sperrstatus Sep 05, 2018 at 06:59:57 (UTC)
Goto Top
Hi Stefan,

die Weiterleitung gilt dann nur für -diese- "anfrangende" IP, oder generell? Wenn ich das richtig verstehe geht dann aber jeglicher Traffic noch über deine Systeme?

VG
Member: StefanKittel
StefanKittel Sep 05, 2018 updated at 07:06:55 (UTC)
Goto Top
Hallo,

Zitat von @falscher-sperrstatus:
die Weiterleitung gilt dann nur für -diese- "anfrangende" IP, oder generell? Wenn ich das richtig verstehe geht dann aber jeglicher Traffic noch über deine Systeme?

technisch wird mittels ip-table eine Portweiterleitung aktiviert.
Der Benutzer schickt die (verschlüsselten Daten) zu dem Sicherheitsgateway und das schickt die Daten zum Zielsystem wo die IP überprüft wird.
Es wir die öffentliche IP-Adresse des Benutzers für die Dauer der Nutzung im Sicherheitsgateway freigeschaltet.
https://secureaccess.pro/angriffs-szenarien/

Stefan
Member: falscher-sperrstatus
falscher-sperrstatus Sep 05, 2018 at 07:13:38 (UTC)
Goto Top
Danke, das geht aber nicht auf meine Frage ein, das ganze wird dann über dein System geroutet? Oder sagt dein System nur (weil feste IP?) öffne die Weiterleitung auf dem immer per RDP erreichbaren System beim Kunden, nimm das an und Leite es auf Host X weiter?

Wie machst du das dann bei dauerhaftem RDP Einsatz mehrerer Benutzer (TS mit 30Mann?)


VG
Member: StefanKittel
StefanKittel Sep 05, 2018 updated at 07:31:15 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:
Danke, das geht aber nicht auf meine Frage ein, das ganze wird dann über dein System geroutet? Oder sagt dein System nur (weil feste IP?) öffne die Weiterleitung auf dem immer per RDP erreichbaren System beim Kunden, nimm das an und Leite es auf Host X weiter?

Die Portweiterleitung beim Kunden existiert dauerhaft.
Der Schutz ist der IP-Filter, da die Portweiterleitung nur Daten von der IP unseres Sicherheitsgateways annimmt.

Für die Dauer der Nutzung wird auf unsererm Server eine Portweiterleitung aktiviert.
Quelle: IP des Benutzers, Ziel: IP des Kunden

[Benutzer IP] -> [IP-Sicherheitsgateway]:[Port des Systems beim Kunden] -> [IP-Kunde]:[Port]
z.B.
80.81.82.83 -> 185.183.157.70:46201 -> 123.124.125.126:3389

Wie machst du das dann bei dauerhaftem RDP Einsatz mehrerer Benutzer (TS mit 30Mann?)
1. 1 System und 30 Benutzer im Backend einrichten.
2. Portweiterleitung mit IP-Filter (auf 185.183.157.70) beim Kunden einrichten
Fertig

Stefan
Member: falscher-sperrstatus
falscher-sperrstatus Sep 05, 2018 at 07:42:18 (UTC)
Goto Top
OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...

Find ich jetzt ehrlich gesagt auch nicht so toll...Im Endeffekt erhöht das nur die potenziellen Möglichkeiten der Attacken und hat kaum einen Vorteil zur VPN. Aber nur meine Meinung.
Member: Lochkartenstanzer
Solution Lochkartenstanzer Sep 05, 2018 updated at 08:04:34 (UTC)
Goto Top
Zitat von @nikasio14:

Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.

Grob fahrlässig!

Hier kommt das Problem und der Software-Betreuer ins spiel:
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.

Genauso grob fahrlässig!

Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14


Imho schneken die beiden sich ncihts und sind beide dafür verantwortlich.

Das ist genauso, wenn einer die Haustür offenläßt, weil ja die Wohnungtüren alle veschlossen sind und ein anderer die Wohnugntür offenläßt, weil er davon ausgeht, daß die haustür imme rverschlossen ist.

Beide am Schlafittchen packen und Kosten teilen lassen!


Aber dazu muß diese Lücke auch für den Angriff genutzt worden sein.

lks


lks
Member: StefanKittel
StefanKittel Sep 05, 2018 at 08:39:05 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:
OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...
Ja, die Daten sind ja bereits verschlüsselt.

Find ich jetzt ehrlich gesagt auch nicht so toll...Im Endeffekt erhöht das nur die potenziellen Möglichkeiten der Attacken und hat kaum einen Vorteil zur VPN. Aber nur meine Meinung.
Der Angreifer kann nicht direkt auf das System des Kunden zugreifen. Er müßte zuerst unseren Server hacken. Das erhöht die Sicherheit sehr deutlich.
Man muss keine Software oder Hardware installieren. Weder in der Firma noch beim externen Benutzer. Das macht es einfacher und schneller einzuführen. 5 Minuten in der Firma für die Portweiterleitung mit IP-Filter und 5 Minuten für den Benutzer sich anzumelden.

Viele Grüße

Stefan
Member: Lochkartenstanzer
Lochkartenstanzer Sep 05, 2018 at 08:47:52 (UTC)
Goto Top
Zitat von @StefanKittel:

Zitat von @falscher-sperrstatus:
OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...
Ja, die Daten sind ja bereits verschlüsselt.

D.h. Ihr seid ein lohnendes Ziel , weil man damit an viel mehr Zielsysteme kommt, als einzelne Kundesysteme anzugreifen. face-smile

lks
Member: StefanKittel
StefanKittel Sep 05, 2018 at 09:00:03 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
D.h. Ihr seid ein lohnendes Ziel , weil man damit an viel mehr Zielsysteme kommt, als einzelne Kundesysteme anzugreifen. face-smile
Ja und Nein
Den bei uns sind ja nur die öffentlichen IP-Adressen und deren Ports gespeichert. Bei uns sind keine Zugangsdaten für die Einwahl gespeichert. Die hat nur der Benutzer. Der Angreifen müßte also unseren Server hacken, ihn als Relay umkonfigurieren und wäre dann in der Position einen Brute-Force-Angriff zu starten. Und das ganze ohne dass wir davon etwas mitbekommen.
Ob man mit einer Hardware-Firewall besser dran wäre hängt auch von vielen Faktoren ab (http://www.spiegel.de/netzwelt/netzpolitik/five-eyes-staaten-fordern-fr .)
Member: Vision2015
Vision2015 Sep 05, 2018 at 10:36:35 (UTC)
Goto Top
Moin...

Ja, das Port-Forwarding war direkt vom Router auf den PC eingerichtet, laut EDV-Betreuer und windigen "Zugriffsprotokollen" Hätte sich tatsächlich jemand eingeloggt, darüber den Virenschutz deaktiviert und den Crypto händisch installiert...

sorry, das glaube ich nicht! das soll er erstmal beweisen!

Dass jeder "Vollidiot" es schafft, sich auf den Rechner ein zu wählen, über Internet mit RDP, sobald er den offenen Port findet.
ja.. dazu müssen aber zugangsdaten bekant sein... wenn das jetzt sowas wie PC & 123456 ist...

Der EDV-Betreuer hat natürlich alles "sichergestellt und für die Beweismittelkette kopiert"...
das würde ich zugerne sehen... ich hoffe revisionssicher! wenn nicht, ist es nix wert!
da würde ich als erstes sagen, junge das hast du selber manipuliert!
So einen Gegenwind von Fachausdrücken habe ich schon lange nicht mehr bekommen ^^
ach immer locker bleiben... Hunde die Bellen...... face-smile
Eine RDP-Weiterleitung ohne VPN oder Sicherheitsgateway einzurichten ist fahrlässig.
das sehe ich allerdings auch so!

Frank
Member: StefanKittel
StefanKittel Sep 05, 2018 updated at 11:08:25 (UTC)
Goto Top
Zitat von @Vision2015:
Ja, das Port-Forwarding war direkt vom Router auf den PC eingerichtet, laut EDV-Betreuer und windigen "Zugriffsprotokollen" Hätte sich tatsächlich jemand eingeloggt, darüber den Virenschutz deaktiviert und den Crypto händisch installiert...
sorry, das glaube ich nicht! das soll er erstmal beweisen!
Ob das hier die Ursache war, oder der Benutzer einfach auf der falschen Pornoseite war und es nun verschleiert, bleibt ungeklärt.

Ich habe es einmal bei einem Kunden gesehen.
Auf einmal wechselte der Bildschirm von der normalen Ansicht zu "Dieser Arbeitsplatz ist gesperrt von Benutzer InstAdmin".

Gleich den Stecker rausgezogen und geschaut.
Irgendjemand hatte irgendwann in der Tat eine Portweiterleitung für RDP im Router und am PC konfiguriert.
Und es gab einen lokalen Administrator mit dem Namen "InstAdmin". Nach 3 Versuchen kannte ich auch das Kennwort.

Auf dem Bildschirm des Benutzers waren 2 Browserfenster mit asiatischen Schriftzeichen und ein cmd-Fenster.

Weiterleitung weg und PC neu installiert.

Das gibt es häufiger als man denkt.
Und jeder lokale oder Domänen-Benutzer hat RDP Rechte.

Es gab doch früher dieses VNC-Roulette. Gibt es so etwas ggf. auch für RDP?

Stefan
Member: nikasio14
nikasio14 Sep 05, 2018 at 11:14:43 (UTC)
Goto Top
Hallo Stefan,

Spannendes System. Ich leite das mal bei uns weiter, könnte echt interessant sein!
Wenn die Einrichtung wirklich nur 5 Minuten dauert, geht das wirklich deutlich schneller als OpenVPN und Co. zu installieren.

Auf jeden Fall braucht ihr aber ein Port-Forwarding im Router, verstehe ich das richtig?
Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?

Grüße Nikasio14
Member: Lochkartenstanzer
Lochkartenstanzer Sep 05, 2018 at 11:21:02 (UTC)
Goto Top
Zitat von @nikasio14:

Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?

Da wird man seinem Provider sagen, daß er dieses Port-Forwarding einrichtet.

lks
Member: clSchak
clSchak Sep 05, 2018 at 13:43:03 (UTC)
Goto Top
Hi

ich würde solche Geräte erst gar nicht einsetzen, wobei wir auch keinerlei Router von irgend einen Anbieter haben, die stellen uns immer am Übergabepunkt einen 08/15 RJ45 Anschluss bereit an dem wir unsere Firewall anschließen, entweder mit statischer IP oder DHCP auf den WAN Port - wobei dann via DHCP lediglich die eine IP Adresse vergeben wird und somit immer gleich ist.

Ich musste bisher nirgendwo Zugangsdaten eintragen für unsere Internetanschlüsse :>.

Gruß
@clSchak
Mitglied: 117471
117471 Sep 05, 2018 at 14:28:36 (UTC)
Goto Top
Huhu,

Zitat von @Lochkartenstanzer:

Zitat von @nikasio14:

Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?

Da wird man seinem Provider sagen, daß er dieses Port-Forwarding einrichtet.

Echt? Ich schalte mir die Ports dann immer über UPNP auf face-smile

Ernsthaft - die "Business-Router", die ich kenne, haben auf der LAN-Seite Netze mit öffentlichen IP-Adressen face-smile

Gruß,
Jörg
Member: Lochkartenstanzer
Lochkartenstanzer Sep 05, 2018 updated at 14:50:15 (UTC)
Goto Top
Zitat von @117471:

Ernsthaft - die "Business-Router", die ich kenne, haben auf der LAN-Seite Netze mit öffentlichen IP-Adressen face-smile

Muß ich denn immer Ironietags dazumalen?

lks
Mitglied: 117471
117471 Sep 05, 2018 at 21:25:18 (UTC)
Goto Top
Mach ich doch auch, Hase!
Member: the-buccaneer
Solution the-buccaneer Sep 09, 2018 at 02:07:01 (UTC)
Goto Top
Doof, jetzt war ich ein paar Tage weg und konnte die Diskussion eben erst weiterlesen.

An den TO: Lass dir das "Beweismaterial" zeigen. Dem "Hardwareguy" geht der A... auf Grundeis. Aus gutem Grund. face-wink
Und versteh mich nicht falsch, auch wenn ich die Konfiguration ansatzweise verteidige: Ich habe einmal kurzfristig einen RDP Port zu einem Kunden weitergeleitet um wegen VPN-Problemen den Server erreichen zu können. Da war aber meine feste IP als einzige Quell-IP in der Firewall definiert. face-wink
Trotzdem ist es m.E. keine per se "unsichere Konfiguration" solange eben gewisse Rahmenbedingungen eingehalten werden, aber das ist natürlich (wie immer bei dem Thema) sehr relativ...
Da MS es offiziell als geeignete Ferzugriffsmöglickeit bewirbt und die von MS genannten Kriterien von dem Kollegen eingehalten wurden ist der Fall nicht so klar...

Trotzdem: Du schreibst, dass du die Software installierst, der Installer die Rechte setzt und du dann unmittelbar die Accounts änderst.
Wie lange ist denn da das Zeitfenster? Innerhalb dieser Minuten erfolgte der Angriff?
An deiner Stelle würde ich jetzt da sitzen und einen "Honeypot" für RDP mit admin/admin einrichten. 3 Tasks programmiert: 1. Bei erfolgter Einwahl IP tracken. 2.: Desktop ändern auf: "You've made it. I give up and shut down." 3. Shutdown.exe /l/s.
So oder ähnlich.
Nur so aus Spaß. face-wink

Kannst du dich nicht mit dem Kollegen zusammenraufen und sagen: "O.K., wir haben beide etwas nachlässig gearbeitet, wir teilen uns den Wiederherstellungsaufwand beim Kunden gerecht auf und haben beide was gelernt"? Und dem Kunden das verkaufen als "Seltener Fall, ungünstige Kombination aus einzeln vertretbaren Konfigurationen, so wie minus und minus dann eben plus ergibt..." Das ist zwar sinnfrei aber evtl. arschrettend... Euer Kunde hat jedenfalls keinen Fehler gemacht und sollte da auch ohne größeren Schaden rauskommen...
Wollt ihr Krähen euch denn gegenseitig die Augen aushacken?

@fa-jka: Machst du nur Unitymedia-Business-Router? face-wink

@StefanKittel: Interessante Lösung. D.h. die Kunden arbeiten im Browser? Könnte man sowas nicht in kleinem Rahmen evtl. auch über den Squid realisieren? Habt ihr das getestet?

VG
Buc
Member: StefanKittel
StefanKittel Sep 09, 2018 at 07:45:31 (UTC)
Goto Top
Moin

Zitat von @the-buccaneer:
@StefanKittel: Interessante Lösung. D.h. die Kunden arbeiten im Browser? Könnte man sowas nicht in kleinem Rahmen evtl. auch über den Squid realisieren? Habt ihr das getestet?
Im Browser stellst Du nur die Verbindung her. Der Zugriff erfolgt normal über mstsc oder einen anderen RDP-Client.
Es ist "nur" ein IP-Filter. So wie Du Deine IP dort fest eingetragen hast. Es gibt viele Möglichkeiten um RDP abzusichern.

Stefan
Member: the-buccaneer
the-buccaneer Sep 14, 2018 at 01:28:23 (UTC)
Goto Top
O.k.
Und Hintergrund der Sache ist, dass auf Kundenseite kein VPN mehr eingerichtet werden muss, kein Client nötig ist etc.

Es wird keine VPN-fähige Firewall mehr benötigt, bzw. ihr spart euch den Konfigurationsaufwand und könnt noch ne ordentliche Abogebühr aufrufen.
Nicht schlecht gedacht, denn es ist letzlich eine Win-Win-Situation. face-wink

Schick mal ne PN mit Konditionen.
Buc
Member: falscher-sperrstatus
falscher-sperrstatus Sep 14, 2018 at 06:42:32 (UTC)
Goto Top
Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
Member: Vision2015
Vision2015 Sep 14, 2018 at 07:25:18 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
nun... letztendlich laufen so mindestens 70 % aller Router....
und das wort firewall ist ja auch so eine sache... bei fast allen Routern würde ich port filter sagen... nicht firewall face-smile
und es kommt ja auch drauf an, was der kunde will oder braucht!

Frank
Member: falscher-sperrstatus
falscher-sperrstatus Sep 14, 2018 updated at 07:27:38 (UTC)
Goto Top
Zitat von @Vision2015:

Zitat von @falscher-sperrstatus:

Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
nun... letztendlich laufen so mindestens 70 % aller Router....
und das wort firewall ist ja auch so eine sache... bei fast allen Routern würde ich port filter sagen... nicht firewall face-smile
und es kommt ja auch drauf an, was der kunde will oder braucht!

Frank

Ich sag Firewall zu einer Firewall oder besserem. Wenn natürlich Vertriebler zu einer Fritzbox-ähnlich-eingerichteten Firewall/Router o.ä Firewall sagen...naja... dem muss ich mich aber nicht anschliessen.
Member: nikasio14
nikasio14 Sep 17, 2018 at 11:41:33 (UTC)
Goto Top
Klar, der Kunde ist auf jeden Fall frei raus, den meisten Aufwand habe ich jetzt geleistet und die Datenbank wieder gerettet - Die Festplatte mit DaSi war schließlich auch noch angesteckt und genau so mit verschlüsselt.
Honeypot ist mal ne nette Idee face-big-smile
Danke auf jeden Fallo für die tolle Zusammenfassung!
LG Nikasio14