46
Sicherheit bei Port-Forwarding - Virusbefall - wer kommt für die Kosten auf?
Hallo! Danke für die automatische Aufnahme ins Forum!
Wie im Titel erwähnt, geht es um die Kosten bei einem Virus-Befall und wer eurer Meinung nach mehr Mist gebaut hat. Zur Wahl steht der
- Software-Betreuer oder
- lokaler EDV-Betreuer
Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Hier kommt das Problem und der Software-Betreuer ins spiel:
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt und der Software-Mensch ist der Buhmann, hat ja vorher alles funktioniert. Oder doch nicht?
Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Wie im Titel erwähnt, geht es um die Kosten bei einem Virus-Befall und wer eurer Meinung nach mehr Mist gebaut hat. Zur Wahl steht der
- Software-Betreuer oder
- lokaler EDV-Betreuer
Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Hier kommt das Problem und der Software-Betreuer ins spiel:
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt und der Software-Mensch ist der Buhmann, hat ja vorher alles funktioniert. Oder doch nicht?
Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 385401
Url: https://administrator.de/contentid/385401
Printed on: April 19, 2024 at 12:04 o'clock
46 Comments
Latest comment
Hallo,
Script-Kiddie mit Verschlüsselungstrojaner?
Sicher das die Portweiterleitung und der Schaden ursächlich zusammenhängen?
Wenn ja, was macht Dich so sicher?
Script-Kiddie mit Verschlüsselungstrojaner?
Sicher das die Portweiterleitung und der Schaden ursächlich zusammenhängen?
Wenn ja, was macht Dich so sicher?
Hallo,
Willkommen.
Gruß,
Peter
Willkommen.
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein,
Auch wenn dieser auf einen PC ein Portfowarding einrichtet, kommt noch lange keiner da dran, es sei das schon ein Portforwarding auf euren Router zu genau diesem einen PC eingerichtet war. Und wo geht das Portforwarding denn überhaupt hin (Ziel IP)?damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann.
Was hat jetzt der Kunde von eurem EDV-Betreuer mit Zugriff per RDP auf eure Rechner zu tun?Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Das stimmt zwar, aber kein EDV-Betreuer der schon mal was von Sicherheit gehört hat macht das ohne VPN, es sei denn er spielt gern Russisch Roulette.Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Und was hat das jetzt mit dem Portforwarding für RDP zu tun?Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort
Da ein Ping nicht über euren Internetrouter hinweg kommt, Antwortet nur eurer Router. Was anderes wenn ein Nicht Skript-Kiddy Ports mit erweiterten Mitteln durchtestet und euren RDP findet. Daher ist ein VPN dafür einfach Pflicht.und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt
Und an allem ist nur ein Skript-Kiddy beteiligt? Oder kann es ncit doch anderer Ursachen wie eine Mail sein neben den falschen Umgang mit Freigaben und gespeicherten Administartor Passwörtern. Es fehlen noch weitere Informationen um sich ein Bild des hergangs tatsächlich auf Portforwardung an/auf ein PC, RDP, Installation einer Software, Skript-Kiddy eindeutig zu schliessen.Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Der Schuldige ist immer der GärtnerGruß,
Peter
Hallo Nikasio,
warum richtet der Softwarebetreuer denn bitte einen Admin ein (zu dem mit Standard-PW)?
Allerdings genauso fragwürdig: RDP Zugriff auf den PC von extern.
Aber in Summe: Was wurde definiert? Was war erlaubt? Im Zweifelsfall keiner, wenn der Kunde des abgesegnet hat. Mit Ruhm bekleckert sich allerdings dabei weder EDV-, noch Software-Betreuer.
Aber um die Ecke haben wir die Anfrage, warum professionelle IT-Einrichtung so teuer ist ($-Zeichen im Auge...)...nunja..
VG
warum richtet der Softwarebetreuer denn bitte einen Admin ein (zu dem mit Standard-PW)?
Allerdings genauso fragwürdig: RDP Zugriff auf den PC von extern.
Aber in Summe: Was wurde definiert? Was war erlaubt? Im Zweifelsfall keiner, wenn der Kunde des abgesegnet hat. Mit Ruhm bekleckert sich allerdings dabei weder EDV-, noch Software-Betreuer.
Aber um die Ecke haben wir die Anfrage, warum professionelle IT-Einrichtung so teuer ist ($-Zeichen im Auge...)...nunja..
VG
Moin...
gerne..
Wie im Titel erwähnt, geht es um die Kosten bei einem Virus-Befall und wer eurer Meinung nach mehr Mist gebaut hat. Zur Wahl steht der
- Software-Betreuer oder
- lokaler EDV-Betreuer
warum?
Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
hm... das ist nicht so schön... hat aber nix mit einem Virusbefall zu schaffen!
Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt und der Software-Mensch ist der Buhmann, hat ja vorher alles funktioniert. Oder doch nicht?
das ist doch unfug, in der regel bekommst du eine Mail mit allem zip und zap, die wird auch brav geöffnet... und schon ist es passiert!
das haben 99% aller kunden, die sich sowas einfangen!
ein download im WWW wird auch gerne genommen
allerdings frage ich mich warum ihr kein ordentliches AV programm habt... Kaspersy kann da schon serverseitig helfen- da hört der krypto nach ca. 2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!
Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Frank
gerne..
Wie im Titel erwähnt, geht es um die Kosten bei einem Virus-Befall und wer eurer Meinung nach mehr Mist gebaut hat. Zur Wahl steht der
- Software-Betreuer oder
- lokaler EDV-Betreuer
Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Hier kommt das Problem und der Software-Betreuer ins spiel:
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
ok..Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt und der Software-Mensch ist der Buhmann, hat ja vorher alles funktioniert. Oder doch nicht?
das haben 99% aller kunden, die sich sowas einfangen!
ein download im WWW wird auch gerne genommen
allerdings frage ich mich warum ihr kein ordentliches AV programm habt... Kaspersy kann da schon serverseitig helfen- da hört der krypto nach ca. 2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!
Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
allerdings frage ich mich warum ihr kein ordentliches AV programm habt... Kaspersy kann da schon serverseitig helfen- da hört der krypto nach ca.
2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!
2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!
ist aber doch alles so teuer...
Zitat von @falscher-sperrstatus:
ist aber doch alles so teuer...
jetzt wo du es sagst.... allerdings frage ich mich warum ihr kein ordentliches AV programm habt... Kaspersy kann da schon serverseitig helfen- da hört der krypto nach ca.
2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!
2-3 Dateien auf, und wird angehalten! der PC kommt in iso haft- und gut ist!
allerdings moppert nicht immer über eure betreuer und admins, wennd er User sagt, ja ich will das sehen, macht er das auch!
eine ordentliche AV lösung ist nicht alles, sensibilisierung und kopf nutzen machen mindestens 50 % schutz aus!
ist aber doch alles so teuer...
Frank
...und der Einrichter (der damit z.t - je nach dem) einige Zeit und viel Vorbereitungswissen rein steckt hat doch nur die Dollarzeichen im Auge...
hm...
mein Haus, mein Auto, mein Pool, meine Katzen, mein Hund, meine Frau, meine Freundinen & Mätressen, meine Stunden beim Tätowierer, ausgiebige Kneipen und Restaurant besuche, meine Private Krankenversicherung, Mitarbeiter etc... wollen auch leben!
Ergo... ohne $ in den Augen, geht es leider nicht!
Allerdings, der Auftrag, alles neu und Ordentlich zu machen, ist in der regel auch nicht von schlechten Eltern
hab mir grade ein neues Mac Book pro bestellt und ein surface go...
Frank
Zitat von @falscher-sperrstatus:
...und der Einrichter (der damit z.t - je nach dem) einige Zeit und viel Vorbereitungswissen rein steckt hat doch nur die Dollarzeichen im Auge...
...und der Einrichter (der damit z.t - je nach dem) einige Zeit und viel Vorbereitungswissen rein steckt hat doch nur die Dollarzeichen im Auge...
mein Haus, mein Auto, mein Pool, meine Katzen, mein Hund, meine Frau, meine Freundinen & Mätressen, meine Stunden beim Tätowierer, ausgiebige Kneipen und Restaurant besuche, meine Private Krankenversicherung, Mitarbeiter etc... wollen auch leben!
Ergo... ohne $ in den Augen, geht es leider nicht!
Allerdings, der Auftrag, alles neu und Ordentlich zu machen, ist in der regel auch nicht von schlechten Eltern
hab mir grade ein neues Mac Book pro bestellt und ein surface go...
Frank
Hallo,
in meinen Augen sind das beides Vollidioten.
50:50
Gruß,
Jörg
in meinen Augen sind das beides Vollidioten.
50:50
Gruß,
Jörg
1
Hallo,
das ist eine gute Frage für einen Anwalt.
Im Zweifel wie immer keiner solange man nichts beweisen kann.
Du Hast ja "nur" die verschlüsselte Platte und die Änderungszeiten der Verzeichnisse.
Das kann man ja alles fälschen solange es keinen Gutachter und forensische Beweisaufnahme gibt. Auch kann der Kunde ja eine böse Email geöffnet haben.
Die besten Möglichkeiten hast Du wenn es ein Lieferant mit bestehendem Vertrag ist.
Mit dem kann man sich meist finanziell einigen.
Da die Kosten für eine Neuinstallation meist recht gering sind (<1000 Euro) lohnt sich auch kein Prozess.
Denn den Datenverlust kann der Kunde nicht einklagen, da er ja eine Datensicherung hätte machen können/müssen sie so etwas übersteht.
Unfreundliche Besucher über RDP mit Portweiterleitung eines Clients passieren immer mal wieder.
Ich hatte schon 4 neue Kunden die so einen Fall hatten in den letzten 2-3 Jahren.
1x wurde das Kennwort des Kunden erraten.
3x gab es einen Admin/Benutzer mit einfachem Kennwort (z.B. scan/scan) (Denn jeder Admin ist in der RDP-Gruppe).
Also: RDP immer schöne mit VPN oder einem Sicherheitsgateway (z.B. https://secureaccess.pro/ (Eigenwerbung)) absichern.
Viele Grüße
Stefan
das ist eine gute Frage für einen Anwalt.
Im Zweifel wie immer keiner solange man nichts beweisen kann.
Du Hast ja "nur" die verschlüsselte Platte und die Änderungszeiten der Verzeichnisse.
Das kann man ja alles fälschen solange es keinen Gutachter und forensische Beweisaufnahme gibt. Auch kann der Kunde ja eine böse Email geöffnet haben.
Die besten Möglichkeiten hast Du wenn es ein Lieferant mit bestehendem Vertrag ist.
Mit dem kann man sich meist finanziell einigen.
Da die Kosten für eine Neuinstallation meist recht gering sind (<1000 Euro) lohnt sich auch kein Prozess.
Denn den Datenverlust kann der Kunde nicht einklagen, da er ja eine Datensicherung hätte machen können/müssen sie so etwas übersteht.
Unfreundliche Besucher über RDP mit Portweiterleitung eines Clients passieren immer mal wieder.
Ich hatte schon 4 neue Kunden die so einen Fall hatten in den letzten 2-3 Jahren.
1x wurde das Kennwort des Kunden erraten.
3x gab es einen Admin/Benutzer mit einfachem Kennwort (z.B. scan/scan) (Denn jeder Admin ist in der RDP-Gruppe).
Also: RDP immer schöne mit VPN oder einem Sicherheitsgateway (z.B. https://secureaccess.pro/ (Eigenwerbung)) absichern.
Viele Grüße
Stefan
Moin Stefan,
warum ist scan/scan denn überhaupt Admin?..
Wie funktioniert dein Sicherheitsgateway denn?
oder bspw eine Sophos SG mit RDP Gateway, dazu gerne eine PN (Achtung Eigenwerbung )
LG
warum ist scan/scan denn überhaupt Admin?..
Wie funktioniert dein Sicherheitsgateway denn?
oder bspw eine Sophos SG mit RDP Gateway, dazu gerne eine PN (Achtung Eigenwerbung
)LG
Willkommen!
Das meiste ist ja schon gesagt, aber einem Softwarebetreuer, der in dem von mir betreuten Netzwerk lustig User und Admins mit RDP-Rechten und Standardpasswörtern einrichtet, würde ich was husten! Was macht dich so sicher, dass das Angriffszenario so abgelaufen ist?
Was du beschreibst ist aber zu allgemein und wahrscheinlich sachlich auch falsch ("Skriptkiddie" etc.) um konkreter zu antworten.
Vorher hat es definitiv funktioniert und war auch hinreichend sicher, denn das RDP-Protokoll gilt bei ausreichend starken Passwörtern als "sicher". (Es ist sicherer als VNC!)
Die Sicherheitslücke war ein nicht ausreichend gesicherter Admin-Account, der von der "Software" angelegt wurde.
Wenn der "EDV-Betreuer" über das Anlegen dieses Users informiert wurde, sieht es anders aus, denn da hätte er reagieren können.
Es klingt so, als seiest du der Sotwarebetreuer. Mein Beileid, dumm gelaufen...
Wäre mir der Klops passiert, würde ich versuchen, mich mit dem Kunden zu einigen. (z.B. Neuaufsetzen des Systems übernehmen oder wenn ein Backup da war, dem Kunden ein Kontingent an Arbeitszeit gutschreiben etc.pp.)
Alles ohne juristisches Schuldeingeständnis als "Kulanz"
Wenn kein Backup da war und es um relevante Beträge als Schadenerstz geht: Dringend (Fach-) Anwalt konsultieren!
Shit happens.
Buc
Trotzdem ein tolles Beispiel dafür, warum man ein VPN einrichtet. Ich erkläre es den Kunden gerne so:
Wollen sie, dass ihr PC vor der Haustür steht und die ganze Welt versuchen kann, sich einzuloggen, oder ist es nicht sicherer, wenn da noch eine abgeschlossene Haustür davor ist?
Niemand wollte seinen Rechner bisher virtuell auf die Strasse stellen.
Das meiste ist ja schon gesagt, aber einem Softwarebetreuer, der in dem von mir betreuten Netzwerk lustig User und Admins mit RDP-Rechten und Standardpasswörtern einrichtet, würde ich was husten! Was macht dich so sicher, dass das Angriffszenario so abgelaufen ist?
Was du beschreibst ist aber zu allgemein und wahrscheinlich sachlich auch falsch ("Skriptkiddie" etc.) um konkreter zu antworten.
Vorher hat es definitiv funktioniert und war auch hinreichend sicher, denn das RDP-Protokoll gilt bei ausreichend starken Passwörtern als "sicher". (Es ist sicherer als VNC!)
Die Sicherheitslücke war ein nicht ausreichend gesicherter Admin-Account, der von der "Software" angelegt wurde.
Wenn der "EDV-Betreuer" über das Anlegen dieses Users informiert wurde, sieht es anders aus, denn da hätte er reagieren können.
Es klingt so, als seiest du der Sotwarebetreuer. Mein Beileid, dumm gelaufen...
Wäre mir der Klops passiert, würde ich versuchen, mich mit dem Kunden zu einigen. (z.B. Neuaufsetzen des Systems übernehmen oder wenn ein Backup da war, dem Kunden ein Kontingent an Arbeitszeit gutschreiben etc.pp.)
Alles ohne juristisches Schuldeingeständnis als "Kulanz"
Wenn kein Backup da war und es um relevante Beträge als Schadenerstz geht: Dringend (Fach-) Anwalt konsultieren!
Shit happens.
Buc
Trotzdem ein tolles Beispiel dafür, warum man ein VPN einrichtet. Ich erkläre es den Kunden gerne so:
Wollen sie, dass ihr PC vor der Haustür steht und die ganze Welt versuchen kann, sich einzuloggen, oder ist es nicht sicherer, wenn da noch eine abgeschlossene Haustür davor ist?
Niemand wollte seinen Rechner bisher virtuell auf die Strasse stellen.
Zitat von @the-buccaneer:
Es klingt so, als seiest du der Sotwarebetreuer. Mein Beileid, dumm gelaufen...
Wäre mir der Klops passiert, würde ich versuchen, mich mit dem Kunden zu einigen. (z.B. Neuaufsetzen des Systems übernehmen oder wenn ein Backup da war, dem Kunden ein Kontingent an Arbeitszeit gutschreiben etc.pp.)
Alles ohne juristisches Schuldeingeständnis als "Kulanz"
Es klingt so, als seiest du der Sotwarebetreuer. Mein Beileid, dumm gelaufen...
Wäre mir der Klops passiert, würde ich versuchen, mich mit dem Kunden zu einigen. (z.B. Neuaufsetzen des Systems übernehmen oder wenn ein Backup da war, dem Kunden ein Kontingent an Arbeitszeit gutschreiben etc.pp.)
Alles ohne juristisches Schuldeingeständnis als "Kulanz"
Shit. Ertappt.
Zitat
Trotzdem ein tolles Beispiel dafür, warum man ein VPN einrichtet. Ich erkläre es den Kunden gerne so:
Wollen sie, dass ihr PC vor der Haustür steht und die ganze Welt versuchen kann, sich einzuloggen, oder ist es nicht sicherer, wenn da noch eine
abgeschlossene Haustür davor ist?
Trotzdem ein tolles Beispiel dafür, warum man ein VPN einrichtet. Ich erkläre es den Kunden gerne so:
Wollen sie, dass ihr PC vor der Haustür steht und die ganze Welt versuchen kann, sich einzuloggen, oder ist es nicht sicherer, wenn da noch eine
abgeschlossene Haustür davor ist?
Ja, das dachte ich mir auch.
Die Benutzerkonten wurden von der Installationsroutine erstellt, im weiteren Einrichtungsprozess lösche ich die Konten wieder.
Ist nen altes XP-Überbleibsel mit Anmeldung über Benutzerkonten für bestimmte Verzeichnisfreigaben mit Schreibrechten - heutzutage macht das ja die Anmeldeinformationsverwaltung, aber in den Installations-Routinen ist's noch mit drin.
Ja, das Port-Forwarding war direkt vom Router auf den PC eingerichtet, laut EDV-Betreuer und windigen "Zugriffsprotokollen" Hätte sich tatsächlich jemand eingeloggt, darüber den Virenschutz deaktiviert und den Crypto händisch installiert...
Zitat von Vision2015
das ist doch unfug, in der regel bekommst du eine Mail mit allem zip und zap, die wird auch brav geöffnet... und schon ist es passiert!
das haben 99% aller kunden, die sich sowas einfangen!
das ist doch unfug, in der regel bekommst du eine Mail mit allem zip und zap, die wird auch brav geöffnet... und schon ist es passiert!
das haben 99% aller kunden, die sich sowas einfangen!
Hätte ich sonst auch so erwartet - Klassiker über irgendwelche "Bewerbungen"...
Zitat
Vorher hat es definitiv funktioniert und war auch hinreichend sicher, denn das RDP-Protokoll gilt bei ausreichend starken Passwörtern als
"sicher". (Es ist sicherer als VNC!)
Vorher hat es definitiv funktioniert und war auch hinreichend sicher, denn das RDP-Protokoll gilt bei ausreichend starken Passwörtern als
"sicher". (Es ist sicherer als VNC!)
Woher kommt diese Info?
Wenn der Rechner "vor der Tür steht" (toller Vergleich btw.!), ist er dann nicht auch für andere Protokolle erreichbar und damit für andere Angriffe?
Danke an alle für eure vielfältigen Antworten!!
in meinen Augen sind das beides Vollidioten.
Klar, hinterher ist man immer schlauer.
Gruß Nikasio14
Zitat von @falscher-sperrstatus:
Hallo Nikasio,
warum richtet der Softwarebetreuer denn bitte einen Admin ein (zu dem mit Standard-PW)?
Hallo Nikasio,
warum richtet der Softwarebetreuer denn bitte einen Admin ein (zu dem mit Standard-PW)?
Installationsroutine, eine Reihe vorgefertigter Batches, die seit XP-Zeiten niemand mehr erneuert hat... ^^
Allerdings genauso fragwürdig: RDP Zugriff auf den PC von extern.
Schon, oder!? ...
Aber in Summe: Was wurde definiert? Was war erlaubt? Im Zweifelsfall keiner, wenn der Kunde des abgesegnet hat. Mit Ruhm bekleckert sich allerdings dabei weder EDV-, noch Software-Betreuer.
Klar. Definiert war erst mal nichts, außer Installation und Einrichtung der Software fürs Netzwerk.
Aber um die Ecke haben wir die Anfrage, warum professionelle IT-Einrichtung so teuer ist ($-Zeichen im Auge...)...nunja..
Klar, auch einer der Gründe, warum ich da gerne mit professionellen Hardware-Betreuern zusammen arbeite.
CertifiedIT.net , wo bist du denn unterwegs?
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein,
Auch wenn dieser auf einen PC ein Portfowarding einrichtet, kommt noch lange keiner da dran, es sei das schon ein Portforwarding auf euren Router zu genau diesem einen PC eingerichtet war. Und wo geht das Portforwarding denn überhaupt hin (Ziel IP)?Portforwarding Router -> PC, der Rechner hat ne statische IP und der Router ne fixe IP vom Provider.
damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann.
Was hat jetzt der Kunde von eurem EDV-Betreuer mit Zugriff per RDP auf eure Rechner zu tun?Ein Kunde, zwei Firmen, die auf den selben PCs arbeiten.
Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Das stimmt zwar, aber kein EDV-Betreuer der schon mal was von Sicherheit gehört hat macht das ohne VPN, es sei denn er spielt gern Russisch Roulette.Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Und was hat das jetzt mit dem Portforwarding für RDP zu tun?Dass jeder "Vollidiot" es schafft, sich auf den Rechner ein zu wählen, über Internet mit RDP, sobald er den offenen Port findet.
Den Rest kann man sich denken, irgend ein Script-Kiddy bekommt auf nen Ping ne Antwort
Da ein Ping nicht über euren Internetrouter hinweg kommt, Antwortet nur eurer Router. Was anderes wenn ein Nicht Skript-Kiddy Ports mit erweiterten Mitteln durchtestet und euren RDP findet. Daher ist ein VPN dafür einfach Pflicht.Lt. EDV-Betreuer ist genau das passiert.
und schon ist das Malleur passiert, ein Crypto-Virus alles verschlüsselt
Und an allem ist nur ein Skript-Kiddy beteiligt? Oder kann es ncit doch anderer Ursachen wie eine Mail sein neben den falschen Umgang mit Freigaben und gespeicherten Administartor Passwörtern. Es fehlen noch weitere Informationen um sich ein Bild des hergangs tatsächlich auf Portforwardung an/auf ein PC, RDP, Installation einer Software, Skript-Kiddy eindeutig zu schliessen.Der EDV-Betreuer hat natürlich alles "sichergestellt und für die Beweismittelkette kopiert"...
So einen Gegenwind von Fachausdrücken habe ich schon lange nicht mehr bekommen ^^
Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Der Schuldige ist immer der GärtnerOder doch nur die unschuldige süße Mietzekatze?
Tja, das weis wohl nur der Kopierer-Techniker. Vermutlich hat er sich damit am Server angemeldet weil es einfacher ist.
Nach einer Anmeldung wird eine Port-Weiterleitung aktiviert.
Am Zielsystem wird im Router oder PC/Server ein IP-Filter für RDP aktiviert.
Damit ist der RDP-Port aus dem Internet nicht mehr erreichbar.
Es findet keine Verschlüsselung wie bei VPN statt. Die aktuelle Verschlüsselung von RDP mit Auth auf Netzwerkebene gilt allgemein als sehr sicher.
Das Problem sind eher Sicherheitslücken im OS und schlechte Kennwörter. Beides ist damit gelöst.
Es ist nicht ganz so sicher wie ein VPN, aber viel günstiger sowie einfacher und schneller einzuführen.
IP-Filter einrichten, Benutzer anlegen, Zugangsdaten verteilen, fertig. Man muss nichts auf den Endgeräten installieren oder einrichten.
So wäre ein Ablauf der Installation und des Zugriffes.
https://secureaccess.pro/beispielinstallation/
Viele Grüße
Stefan
Wie funktioniert dein Sicherheitsgateway denn?
https://secureaccess.pro ist technisch gesehen ein TCP-Port-Forwarder mit Weboberfläche.Nach einer Anmeldung wird eine Port-Weiterleitung aktiviert.
Am Zielsystem wird im Router oder PC/Server ein IP-Filter für RDP aktiviert.
Damit ist der RDP-Port aus dem Internet nicht mehr erreichbar.
Es findet keine Verschlüsselung wie bei VPN statt. Die aktuelle Verschlüsselung von RDP mit Auth auf Netzwerkebene gilt allgemein als sehr sicher.
Das Problem sind eher Sicherheitslücken im OS und schlechte Kennwörter. Beides ist damit gelöst.
Es ist nicht ganz so sicher wie ein VPN, aber viel günstiger sowie einfacher und schneller einzuführen.
IP-Filter einrichten, Benutzer anlegen, Zugangsdaten verteilen, fertig. Man muss nichts auf den Endgeräten installieren oder einrichten.
So wäre ein Ablauf der Installation und des Zugriffes.
https://secureaccess.pro/beispielinstallation/
Viele Grüße
Stefan
Moin,
"schuld" sind Beide und zahlen muss wie immer der Kunde.
Eine RDP-Weiterleitung ohne VPN oder Sicherheitsgateway einzurichten ist fahrlässig.
Das wird auch jeder Richter so sehen.
Aber mit etwas Glück, guten Zugangsdaten, regelmäßiger Installation aller OS-Sicherheitsupdates, Korrekter RDP-Einstellungen und keinen Geisterbenutzern kann das sehr lange ohne unfreundliche Besucher funktionieren.
Eine Software die ungefrage Administrator mit Standardzugangsdaten anleget ist grob fahrlässig.
Hier ist die Frage ob es sogar eine Informationspflicht an die Polizeit und das BSI gibt, der Hersteller alle Kunden informieren und überall kostenfreie Updates anbieten muss.
Gäbe es die RDP-Weiterleitung nicht würde es nicht zu diesem Problem führen.
Aber Jemand vor Ort könnte sich auf die gleiche Art und Weise Zugriff verschaffen.
Ich arbeite seit 15 Jahren für Zahnärzte. Ich denke ich könnte in 50% der System vor Ort innerhalb von Minuten einbrechen. Was ich natürlich NICHT mache.
Das aktuelle Problem tritt aber nur in der Kombination auf und damit sind beide Schuld.
Ob man von denen Geld bekommt glaube ich eher weniger.
Wie Oben beschrieben ist der Schaden zu gering.
EDV = Ende der Vernunft
Viele Grüße
Stefan
"schuld" sind Beide und zahlen muss wie immer der Kunde.
Eine RDP-Weiterleitung ohne VPN oder Sicherheitsgateway einzurichten ist fahrlässig.
Das wird auch jeder Richter so sehen.
Aber mit etwas Glück, guten Zugangsdaten, regelmäßiger Installation aller OS-Sicherheitsupdates, Korrekter RDP-Einstellungen und keinen Geisterbenutzern kann das sehr lange ohne unfreundliche Besucher funktionieren.
Eine Software die ungefrage Administrator mit Standardzugangsdaten anleget ist grob fahrlässig.
Hier ist die Frage ob es sogar eine Informationspflicht an die Polizeit und das BSI gibt, der Hersteller alle Kunden informieren und überall kostenfreie Updates anbieten muss.
Gäbe es die RDP-Weiterleitung nicht würde es nicht zu diesem Problem führen.
Aber Jemand vor Ort könnte sich auf die gleiche Art und Weise Zugriff verschaffen.
Ich arbeite seit 15 Jahren für Zahnärzte. Ich denke ich könnte in 50% der System vor Ort innerhalb von Minuten einbrechen. Was ich natürlich NICHT mache.
Das aktuelle Problem tritt aber nur in der Kombination auf und damit sind beide Schuld.
Ob man von denen Geld bekommt glaube ich eher weniger.
Wie Oben beschrieben ist der Schaden zu gering.
EDV = Ende der Vernunft
Viele Grüße
Stefan
Zitat von @StefanKittel:
Es findet keine Verschlüsselung wie bei VPN statt. Die aktuelle Verschlüsselung von RDP mit Auth auf Netzwerkebene gilt allgemein als sehr sicher.
Das Problem sind eher Sicherheitslücken im OS und schlechte Kennwörter. Beides ist damit gelöst.
Es findet keine Verschlüsselung wie bei VPN statt. Die aktuelle Verschlüsselung von RDP mit Auth auf Netzwerkebene gilt allgemein als sehr sicher.
Das Problem sind eher Sicherheitslücken im OS und schlechte Kennwörter. Beides ist damit gelöst.
Spannender Ansatz!
Tja, das weis wohl nur der Kopierer-Techniker. Vermutlich hat er sich damit am Server angemeldet weil es einfacher ist.
?? Einen Kopierer-Techniker gibt's hier nicht ^^
scan/scan war admin/admin, aber richtig, so war das.
Danke Stefan, ich gebe deinen Ansatz bei uns mal an die Haus-IT weiter.
Gerade wenn das System Enduser-freundlich ist, sicher eine interessante Alternative zu OpenVPN.
LG Nikasio14
Danke nochmal, Stefan.
Ich glaube, der Beitrag bringt es echt auf den Punkt!
Liebe Grüße und frohes Schaffen Kaffee olé.
Ich glaube, der Beitrag bringt es echt auf den Punkt!
Hier ist die Frage ob es sogar eine Informationspflicht an die Polizeit und das BSI gibt, der Hersteller alle Kunden informieren und überall kostenfreie Updates anbieten muss.
Nur die Installationsroutine, später natürlich nicht mehr - und da die Installation vor Ort durchgeführt wird, gab's bisher keinen Handlungsbedarf und die Benutzer wurden im Nachhinein verändert/gesichert/entfernt.Ich arbeite seit 15 Jahren für Zahnärzte. Ich denke ich könnte in 50% der System vor Ort innerhalb von Minuten einbrechen. Was ich natürlich NICHT mache.
Ich bin für eine ähnliche Branche unterwegs, kenne das Thema Liebe Grüße und frohes Schaffen
Kaffee olé.
Ich würde auch sagen das beide fahrlässig gehandelt haben.
Jedoch sehe ich das Portforwarding schwerwiegender, da man hier der gesamten Welt die Tür öffnet. (=finde ich grob fahrlässig)
Der lokale Benutzer mit schwachen Passwort würde "nur" im lokalen Netzwerk ein Problem machen. (= finde ich fahrlässig)
Die Frage ist, ob der Angreifer auch wirklich über RDP reinkam, eventuell kann man das noch über das eventlog nachvollziehen.
Jedoch sehe ich das Portforwarding schwerwiegender, da man hier der gesamten Welt die Tür öffnet. (=finde ich grob fahrlässig)
Der lokale Benutzer mit schwachen Passwort würde "nur" im lokalen Netzwerk ein Problem machen. (= finde ich fahrlässig)
Die Frage ist, ob der Angreifer auch wirklich über RDP reinkam, eventuell kann man das noch über das eventlog nachvollziehen.
Das nicht erneuern von Installationsroutinen seit Windows XP (2018;) ) ist natürlich auch nicht optimal...super Konstellation.
Zur Frage nach den Zugriffen, wenn nur RDP (was ich vermute) weitergeleitet wurde, dann ist das nur RDP bzw eben Port 3389. Darüber kann man dann natürlich versuchen was durchzuschleussen, das dürfte aber nur funktionieren, wenn der dahinterstehende RDP Server (des Clients) ungepatcht ist - oder eben per PW.
Logisch.
Du meinst örtlich? Sitzen in Ulm, aber de facto ganzer DACH-Raum plus ggf. angrenzende Länder je nach Kundenanforderung. Funktioniert durch ordentliche Planung auch alles Reibungslos.
Zur Frage nach den Zugriffen, wenn nur RDP (was ich vermute) weitergeleitet wurde, dann ist das nur RDP bzw eben Port 3389. Darüber kann man dann natürlich versuchen was durchzuschleussen, das dürfte aber nur funktionieren, wenn der dahinterstehende RDP Server (des Clients) ungepatcht ist - oder eben per PW.
Logisch.
Du meinst örtlich? Sitzen in Ulm, aber de facto ganzer DACH-Raum plus ggf. angrenzende Länder je nach Kundenanforderung. Funktioniert durch ordentliche Planung auch alles Reibungslos.
Hi Stefan,
die Weiterleitung gilt dann nur für -diese- "anfrangende" IP, oder generell? Wenn ich das richtig verstehe geht dann aber jeglicher Traffic noch über deine Systeme?
VG
die Weiterleitung gilt dann nur für -diese- "anfrangende" IP, oder generell? Wenn ich das richtig verstehe geht dann aber jeglicher Traffic noch über deine Systeme?
VG
Hallo,
technisch wird mittels ip-table eine Portweiterleitung aktiviert.
Der Benutzer schickt die (verschlüsselten Daten) zu dem Sicherheitsgateway und das schickt die Daten zum Zielsystem wo die IP überprüft wird.
Es wir die öffentliche IP-Adresse des Benutzers für die Dauer der Nutzung im Sicherheitsgateway freigeschaltet.
https://secureaccess.pro/angriffs-szenarien/
Stefan
Zitat von @falscher-sperrstatus:
die Weiterleitung gilt dann nur für -diese- "anfrangende" IP, oder generell? Wenn ich das richtig verstehe geht dann aber jeglicher Traffic noch über deine Systeme?
die Weiterleitung gilt dann nur für -diese- "anfrangende" IP, oder generell? Wenn ich das richtig verstehe geht dann aber jeglicher Traffic noch über deine Systeme?
technisch wird mittels ip-table eine Portweiterleitung aktiviert.
Der Benutzer schickt die (verschlüsselten Daten) zu dem Sicherheitsgateway und das schickt die Daten zum Zielsystem wo die IP überprüft wird.
Es wir die öffentliche IP-Adresse des Benutzers für die Dauer der Nutzung im Sicherheitsgateway freigeschaltet.
https://secureaccess.pro/angriffs-szenarien/
Stefan
Danke, das geht aber nicht auf meine Frage ein, das ganze wird dann über dein System geroutet? Oder sagt dein System nur (weil feste IP?) öffne die Weiterleitung auf dem immer per RDP erreichbaren System beim Kunden, nimm das an und Leite es auf Host X weiter?
Wie machst du das dann bei dauerhaftem RDP Einsatz mehrerer Benutzer (TS mit 30Mann?)
VG
Wie machst du das dann bei dauerhaftem RDP Einsatz mehrerer Benutzer (TS mit 30Mann?)
VG
Zitat von @falscher-sperrstatus:
Danke, das geht aber nicht auf meine Frage ein, das ganze wird dann über dein System geroutet? Oder sagt dein System nur (weil feste IP?) öffne die Weiterleitung auf dem immer per RDP erreichbaren System beim Kunden, nimm das an und Leite es auf Host X weiter?
Danke, das geht aber nicht auf meine Frage ein, das ganze wird dann über dein System geroutet? Oder sagt dein System nur (weil feste IP?) öffne die Weiterleitung auf dem immer per RDP erreichbaren System beim Kunden, nimm das an und Leite es auf Host X weiter?
Die Portweiterleitung beim Kunden existiert dauerhaft.
Der Schutz ist der IP-Filter, da die Portweiterleitung nur Daten von der IP unseres Sicherheitsgateways annimmt.
Für die Dauer der Nutzung wird auf unsererm Server eine Portweiterleitung aktiviert.
Quelle: IP des Benutzers, Ziel: IP des Kunden
[Benutzer IP] -> [IP-Sicherheitsgateway]:[Port des Systems beim Kunden] -> [IP-Kunde]:[Port]
z.B.
80.81.82.83 -> 185.183.157.70:46201 -> 123.124.125.126:3389
Wie machst du das dann bei dauerhaftem RDP Einsatz mehrerer Benutzer (TS mit 30Mann?)
1. 1 System und 30 Benutzer im Backend einrichten.2. Portweiterleitung mit IP-Filter (auf 185.183.157.70) beim Kunden einrichten
Fertig
Stefan
OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...
Find ich jetzt ehrlich gesagt auch nicht so toll...Im Endeffekt erhöht das nur die potenziellen Möglichkeiten der Attacken und hat kaum einen Vorteil zur VPN. Aber nur meine Meinung.
Find ich jetzt ehrlich gesagt auch nicht so toll...Im Endeffekt erhöht das nur die potenziellen Möglichkeiten der Attacken und hat kaum einen Vorteil zur VPN. Aber nur meine Meinung.
Zitat von @nikasio14:
Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Situation:
Der EDV-Betreuer macht es seinem Kunden einfach und richtet auf einen Computer im Netzwerk ein Port-Forwarding ein, damit der Kunde von überall per RDP und fixer IP auf seinen Rechner zugreifen kann. Begründung: Ist doch sicher, schließlich ist das Benutzerkonto gesichert mit Passwort.
Grob fahrlässig!
Hier kommt das Problem und der Software-Betreuer ins spiel:
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Der weiß von dem nichts und vermutet das auch nicht, lässt für ein Programm die Installationsroutine laufen. Diese arbeitet für Netzwerk-Freigaben noch mit Benutzerkonten und richtet automatisch Admin und User als Benutzer ein, leider mit Standard-Passworten.
Genauso grob fahrlässig!
Ich freue mich auf Meinungen und einen Rat, danke! LG Nikasio14
Imho schneken die beiden sich ncihts und sind beide dafür verantwortlich.
Das ist genauso, wenn einer die Haustür offenläßt, weil ja die Wohnungtüren alle veschlossen sind und ein anderer die Wohnugntür offenläßt, weil er davon ausgeht, daß die haustür imme rverschlossen ist.
Beide am Schlafittchen packen und Kosten teilen lassen!
Aber dazu muß diese Lücke auch für den Angriff genutzt worden sein.
lks
lks
Zitat von @falscher-sperrstatus:
OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...
Ja, die Daten sind ja bereits verschlüsselt.OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...
Find ich jetzt ehrlich gesagt auch nicht so toll...Im Endeffekt erhöht das nur die potenziellen Möglichkeiten der Attacken und hat kaum einen Vorteil zur VPN. Aber nur meine Meinung.
Der Angreifer kann nicht direkt auf das System des Kunden zugreifen. Er müßte zuerst unseren Server hacken. Das erhöht die Sicherheit sehr deutlich.Man muss keine Software oder Hardware installieren. Weder in der Firma noch beim externen Benutzer. Das macht es einfacher und schneller einzuführen. 5 Minuten in der Firma für die Portweiterleitung mit IP-Filter und 5 Minuten für den Benutzer sich anzumelden.
Viele Grüße
Stefan
Zitat von @StefanKittel:
Zitat von @falscher-sperrstatus:
OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...
Ja, die Daten sind ja bereits verschlüsselt.OK, also ist es richtig, dass alles durch eure Systeme geroutet wird...
D.h. Ihr seid ein lohnendes Ziel , weil man damit an viel mehr Zielsysteme kommt, als einzelne Kundesysteme anzugreifen.
lks
Zitat von @Lochkartenstanzer:
D.h. Ihr seid ein lohnendes Ziel , weil man damit an viel mehr Zielsysteme kommt, als einzelne Kundesysteme anzugreifen.
Ja und NeinD.h. Ihr seid ein lohnendes Ziel , weil man damit an viel mehr Zielsysteme kommt, als einzelne Kundesysteme anzugreifen.
Den bei uns sind ja nur die öffentlichen IP-Adressen und deren Ports gespeichert. Bei uns sind keine Zugangsdaten für die Einwahl gespeichert. Die hat nur der Benutzer. Der Angreifen müßte also unseren Server hacken, ihn als Relay umkonfigurieren und wäre dann in der Position einen Brute-Force-Angriff zu starten. Und das ganze ohne dass wir davon etwas mitbekommen.
Ob man mit einer Hardware-Firewall besser dran wäre hängt auch von vielen Faktoren ab (http://www.spiegel.de/netzwelt/netzpolitik/five-eyes-staaten-fordern-fr .)
Moin...
sorry, das glaube ich nicht! das soll er erstmal beweisen!
da würde ich als erstes sagen, junge das hast du selber manipuliert!
So einen Gegenwind von Fachausdrücken habe ich schon lange nicht mehr bekommen ^^
ach immer locker bleiben... Hunde die Bellen......
Frank
Ja, das Port-Forwarding war direkt vom Router auf den PC eingerichtet, laut EDV-Betreuer und windigen "Zugriffsprotokollen" Hätte sich tatsächlich jemand eingeloggt, darüber den Virenschutz deaktiviert und den Crypto händisch installiert...
sorry, das glaube ich nicht! das soll er erstmal beweisen!
Dass jeder "Vollidiot" es schafft, sich auf den Rechner ein zu wählen, über Internet mit RDP, sobald er den offenen Port findet.
ja.. dazu müssen aber zugangsdaten bekant sein... wenn das jetzt sowas wie PC & 123456 ist...Der EDV-Betreuer hat natürlich alles "sichergestellt und für die Beweismittelkette kopiert"...
das würde ich zugerne sehen... ich hoffe revisionssicher! wenn nicht, ist es nix wert!da würde ich als erstes sagen, junge das hast du selber manipuliert!
So einen Gegenwind von Fachausdrücken habe ich schon lange nicht mehr bekommen ^^
ach immer locker bleiben... Hunde die Bellen......
Eine RDP-Weiterleitung ohne VPN oder Sicherheitsgateway einzurichten ist fahrlässig.
das sehe ich allerdings auch so!Frank
Zitat von @Vision2015:
Ob das hier die Ursache war, oder der Benutzer einfach auf der falschen Pornoseite war und es nun verschleiert, bleibt ungeklärt.Ja, das Port-Forwarding war direkt vom Router auf den PC eingerichtet, laut EDV-Betreuer und windigen "Zugriffsprotokollen" Hätte sich tatsächlich jemand eingeloggt, darüber den Virenschutz deaktiviert und den Crypto händisch installiert...
sorry, das glaube ich nicht! das soll er erstmal beweisen!Ich habe es einmal bei einem Kunden gesehen.
Auf einmal wechselte der Bildschirm von der normalen Ansicht zu "Dieser Arbeitsplatz ist gesperrt von Benutzer InstAdmin".
Gleich den Stecker rausgezogen und geschaut.
Irgendjemand hatte irgendwann in der Tat eine Portweiterleitung für RDP im Router und am PC konfiguriert.
Und es gab einen lokalen Administrator mit dem Namen "InstAdmin". Nach 3 Versuchen kannte ich auch das Kennwort.
Auf dem Bildschirm des Benutzers waren 2 Browserfenster mit asiatischen Schriftzeichen und ein cmd-Fenster.
Weiterleitung weg und PC neu installiert.
Das gibt es häufiger als man denkt.
Und jeder lokale oder Domänen-Benutzer hat RDP Rechte.
Es gab doch früher dieses VNC-Roulette. Gibt es so etwas ggf. auch für RDP?
Stefan
Hallo Stefan,
Spannendes System. Ich leite das mal bei uns weiter, könnte echt interessant sein!
Wenn die Einrichtung wirklich nur 5 Minuten dauert, geht das wirklich deutlich schneller als OpenVPN und Co. zu installieren.
Auf jeden Fall braucht ihr aber ein Port-Forwarding im Router, verstehe ich das richtig?
Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?
Grüße Nikasio14
Spannendes System. Ich leite das mal bei uns weiter, könnte echt interessant sein!
Wenn die Einrichtung wirklich nur 5 Minuten dauert, geht das wirklich deutlich schneller als OpenVPN und Co. zu installieren.
Auf jeden Fall braucht ihr aber ein Port-Forwarding im Router, verstehe ich das richtig?
Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?
Grüße Nikasio14
Zitat von @nikasio14:
Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?
Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?
Da wird man seinem Provider sagen, daß er dieses Port-Forwarding einrichtet.
lks
Hi
ich würde solche Geräte erst gar nicht einsetzen, wobei wir auch keinerlei Router von irgend einen Anbieter haben, die stellen uns immer am Übergabepunkt einen 08/15 RJ45 Anschluss bereit an dem wir unsere Firewall anschließen, entweder mit statischer IP oder DHCP auf den WAN Port - wobei dann via DHCP lediglich die eine IP Adresse vergeben wird und somit immer gleich ist.
Ich musste bisher nirgendwo Zugangsdaten eintragen für unsere Internetanschlüsse :>.
Gruß
@clSchak
ich würde solche Geräte erst gar nicht einsetzen, wobei wir auch keinerlei Router von irgend einen Anbieter haben, die stellen uns immer am Übergabepunkt einen 08/15 RJ45 Anschluss bereit an dem wir unsere Firewall anschließen, entweder mit statischer IP oder DHCP auf den WAN Port - wobei dann via DHCP lediglich die eine IP Adresse vergeben wird und somit immer gleich ist.
Ich musste bisher nirgendwo Zugangsdaten eintragen für unsere Internetanschlüsse :>.
Gruß
@clSchak
Huhu,
Echt? Ich schalte mir die Ports dann immer über UPNP auf
Ernsthaft - die "Business-Router", die ich kenne, haben auf der LAN-Seite Netze mit öffentlichen IP-Adressen
Gruß,
Jörg
Zitat von @Lochkartenstanzer:
Da wird man seinem Provider sagen, daß er dieses Port-Forwarding einrichtet.
Zitat von @nikasio14:
Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?
Wie geht ihr dann mit so Business-Routern um, bei denen der Provider die Login-Daten behält?
Da wird man seinem Provider sagen, daß er dieses Port-Forwarding einrichtet.
Echt? Ich schalte mir die Ports dann immer über UPNP auf
Ernsthaft - die "Business-Router", die ich kenne, haben auf der LAN-Seite Netze mit öffentlichen IP-Adressen
Gruß,
Jörg
Zitat von @117471:
Ernsthaft - die "Business-Router", die ich kenne, haben auf der LAN-Seite Netze mit öffentlichen IP-Adressen
Ernsthaft - die "Business-Router", die ich kenne, haben auf der LAN-Seite Netze mit öffentlichen IP-Adressen
Muß ich denn immer Ironietags dazumalen?
lks
Mach ich doch auch, Hase!
Doof, jetzt war ich ein paar Tage weg und konnte die Diskussion eben erst weiterlesen.
An den TO: Lass dir das "Beweismaterial" zeigen. Dem "Hardwareguy" geht der A... auf Grundeis. Aus gutem Grund.
Und versteh mich nicht falsch, auch wenn ich die Konfiguration ansatzweise verteidige: Ich habe einmal kurzfristig einen RDP Port zu einem Kunden weitergeleitet um wegen VPN-Problemen den Server erreichen zu können. Da war aber meine feste IP als einzige Quell-IP in der Firewall definiert.
Trotzdem ist es m.E. keine per se "unsichere Konfiguration" solange eben gewisse Rahmenbedingungen eingehalten werden, aber das ist natürlich (wie immer bei dem Thema) sehr relativ...
Da MS es offiziell als geeignete Ferzugriffsmöglickeit bewirbt und die von MS genannten Kriterien von dem Kollegen eingehalten wurden ist der Fall nicht so klar...
Trotzdem: Du schreibst, dass du die Software installierst, der Installer die Rechte setzt und du dann unmittelbar die Accounts änderst.
Wie lange ist denn da das Zeitfenster? Innerhalb dieser Minuten erfolgte der Angriff?
An deiner Stelle würde ich jetzt da sitzen und einen "Honeypot" für RDP mit admin/admin einrichten. 3 Tasks programmiert: 1. Bei erfolgter Einwahl IP tracken. 2.: Desktop ändern auf: "You've made it. I give up and shut down." 3. Shutdown.exe /l/s.
So oder ähnlich.
Nur so aus Spaß.
Kannst du dich nicht mit dem Kollegen zusammenraufen und sagen: "O.K., wir haben beide etwas nachlässig gearbeitet, wir teilen uns den Wiederherstellungsaufwand beim Kunden gerecht auf und haben beide was gelernt"? Und dem Kunden das verkaufen als "Seltener Fall, ungünstige Kombination aus einzeln vertretbaren Konfigurationen, so wie minus und minus dann eben plus ergibt..." Das ist zwar sinnfrei aber evtl. arschrettend... Euer Kunde hat jedenfalls keinen Fehler gemacht und sollte da auch ohne größeren Schaden rauskommen...
Wollt ihr Krähen euch denn gegenseitig die Augen aushacken?
@fa-jka: Machst du nur Unitymedia-Business-Router?
@StefanKittel: Interessante Lösung. D.h. die Kunden arbeiten im Browser? Könnte man sowas nicht in kleinem Rahmen evtl. auch über den Squid realisieren? Habt ihr das getestet?
VG
Buc
An den TO: Lass dir das "Beweismaterial" zeigen. Dem "Hardwareguy" geht der A... auf Grundeis. Aus gutem Grund.
Und versteh mich nicht falsch, auch wenn ich die Konfiguration ansatzweise verteidige: Ich habe einmal kurzfristig einen RDP Port zu einem Kunden weitergeleitet um wegen VPN-Problemen den Server erreichen zu können. Da war aber meine feste IP als einzige Quell-IP in der Firewall definiert.
Trotzdem ist es m.E. keine per se "unsichere Konfiguration" solange eben gewisse Rahmenbedingungen eingehalten werden, aber das ist natürlich (wie immer bei dem Thema) sehr relativ...
Da MS es offiziell als geeignete Ferzugriffsmöglickeit bewirbt und die von MS genannten Kriterien von dem Kollegen eingehalten wurden ist der Fall nicht so klar...
Trotzdem: Du schreibst, dass du die Software installierst, der Installer die Rechte setzt und du dann unmittelbar die Accounts änderst.
Wie lange ist denn da das Zeitfenster? Innerhalb dieser Minuten erfolgte der Angriff?
An deiner Stelle würde ich jetzt da sitzen und einen "Honeypot" für RDP mit admin/admin einrichten. 3 Tasks programmiert: 1. Bei erfolgter Einwahl IP tracken. 2.: Desktop ändern auf: "You've made it. I give up and shut down." 3. Shutdown.exe /l/s.
So oder ähnlich.
Nur so aus Spaß.
Kannst du dich nicht mit dem Kollegen zusammenraufen und sagen: "O.K., wir haben beide etwas nachlässig gearbeitet, wir teilen uns den Wiederherstellungsaufwand beim Kunden gerecht auf und haben beide was gelernt"? Und dem Kunden das verkaufen als "Seltener Fall, ungünstige Kombination aus einzeln vertretbaren Konfigurationen, so wie minus und minus dann eben plus ergibt..." Das ist zwar sinnfrei aber evtl. arschrettend... Euer Kunde hat jedenfalls keinen Fehler gemacht und sollte da auch ohne größeren Schaden rauskommen...
Wollt ihr Krähen euch denn gegenseitig die Augen aushacken?
@fa-jka: Machst du nur Unitymedia-Business-Router?
@StefanKittel: Interessante Lösung. D.h. die Kunden arbeiten im Browser? Könnte man sowas nicht in kleinem Rahmen evtl. auch über den Squid realisieren? Habt ihr das getestet?
VG
Buc
Moin
Es ist "nur" ein IP-Filter. So wie Du Deine IP dort fest eingetragen hast. Es gibt viele Möglichkeiten um RDP abzusichern.
Stefan
Zitat von @the-buccaneer:
@StefanKittel: Interessante Lösung. D.h. die Kunden arbeiten im Browser? Könnte man sowas nicht in kleinem Rahmen evtl. auch über den Squid realisieren? Habt ihr das getestet?
Im Browser stellst Du nur die Verbindung her. Der Zugriff erfolgt normal über mstsc oder einen anderen RDP-Client.@StefanKittel: Interessante Lösung. D.h. die Kunden arbeiten im Browser? Könnte man sowas nicht in kleinem Rahmen evtl. auch über den Squid realisieren? Habt ihr das getestet?
Es ist "nur" ein IP-Filter. So wie Du Deine IP dort fest eingetragen hast. Es gibt viele Möglichkeiten um RDP abzusichern.
Stefan
O.k.
Und Hintergrund der Sache ist, dass auf Kundenseite kein VPN mehr eingerichtet werden muss, kein Client nötig ist etc.
Es wird keine VPN-fähige Firewall mehr benötigt, bzw. ihr spart euch den Konfigurationsaufwand und könnt noch ne ordentliche Abogebühr aufrufen.
Nicht schlecht gedacht, denn es ist letzlich eine Win-Win-Situation.
Schick mal ne PN mit Konditionen.
Buc
Und Hintergrund der Sache ist, dass auf Kundenseite kein VPN mehr eingerichtet werden muss, kein Client nötig ist etc.
Es wird keine VPN-fähige Firewall mehr benötigt, bzw. ihr spart euch den Konfigurationsaufwand und könnt noch ne ordentliche Abogebühr aufrufen.
Nicht schlecht gedacht, denn es ist letzlich eine Win-Win-Situation.
Schick mal ne PN mit Konditionen.
Buc
Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
Zitat von @falscher-sperrstatus:
Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
nun... letztendlich laufen so mindestens 70 % aller Router....Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
und das wort firewall ist ja auch so eine sache... bei fast allen Routern würde ich port filter sagen... nicht firewall
und es kommt ja auch drauf an, was der kunde will oder braucht!
Frank
Zitat von @Vision2015:
und das wort firewall ist ja auch so eine sache... bei fast allen Routern würde ich port filter sagen... nicht firewall
und es kommt ja auch drauf an, was der kunde will oder braucht!
Frank
Zitat von @falscher-sperrstatus:
Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
nun... letztendlich laufen so mindestens 70 % aller Router....Grundsätzlich muss man aber betrachten: Keine FIrewall heisst aber, dass alles von innen nach aussen durch kommt. Ob das so im Sinne des Erfinders ist...?
und das wort firewall ist ja auch so eine sache... bei fast allen Routern würde ich port filter sagen... nicht firewall
und es kommt ja auch drauf an, was der kunde will oder braucht!
Frank
Ich sag Firewall zu einer Firewall oder besserem. Wenn natürlich Vertriebler zu einer Fritzbox-ähnlich-eingerichteten Firewall/Router o.ä Firewall sagen...naja... dem muss ich mich aber nicht anschliessen.
Klar, der Kunde ist auf jeden Fall frei raus, den meisten Aufwand habe ich jetzt geleistet und die Datenbank wieder gerettet - Die Festplatte mit DaSi war schließlich auch noch angesteckt und genau so mit verschlüsselt.
Honeypot ist mal ne nette Idee
Danke auf jeden Fallo für die tolle Zusammenfassung!
LG Nikasio14
Honeypot ist mal ne nette Idee
Danke auf jeden Fallo für die tolle Zusammenfassung!
LG Nikasio14
