motte990
Goto Top

WIndows 7 RDP Massen Angriff

Guten Abend Leute ,

zurzeit wird mein PC massiv von 9 unterschiedlichen IP's Angegriffen .
Kaspersky Internet Security 2018 meldet mit mir mittlerweile den 193. Angriff.

Und sagt Das der Angriff Blockiert wurde aber der Computer wurde nicht gesperrt.

Der PC ist über Port 3389 über das www erreichbar . Um den RDP zu schützen habe ich schon den Port in den 5 stelligen bereich geändert.Und die Angriffe gehen Munter weiter.


Gibt es eine Möglichkeit das KIS die IP's Sperrt?


Windows 7 x64 Ultimate
Kaspersky Internet Secruity 2018 Version 18.0.0.405 d
Router Fritzbox 6490 KDG

Content-ID: 352586

Url: https://administrator.de/forum/windows-7-rdp-massen-angriff-352586.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

em-pie
em-pie 23.10.2017 um 19:05:46 Uhr
Goto Top
Moin,

Und hier mal ein klassischer Fall, warum man es tunlichst vermeiden sollte, seinen Rechner (egal ob Windows, Unix, oder was auch immer) für jeden ins Netz zu stellen.


Zur Vermeidung des Problems:
Nutze einen VPN-Tunnel.
Dann muss man sich erst mit einer verschlüsselten Verbindung in dein Netz einwählen, und erst dann darf man den Rest des Netzwerkes nutzen...

Gruß
em-pie
horstvogel
horstvogel 23.10.2017 aktualisiert um 19:09:30 Uhr
Goto Top
Hallo Motte 990,
somit hast Du kein VPN? Unbedingt VPN vorschalten, "wegen die Sicherheit". Dann brauchst Du auch keine Portfreigabe auf 3389. Geht ja vermutlich nicht mehr so geschmeidig mit Kabelanschluss und IPsec und der Fritzbox im IPv6 Netz von Kabeldeutschland.
Der Horst
Motte990
Motte990 23.10.2017 aktualisiert um 19:22:41 Uhr
Goto Top
Danke für Eure Info mit dem VPN.

Leider ist das nicht möglich da ich von Arbeit aus auf mein heim Rechner zugreife und laut It Abteilung es keine Möglichkeit gibt das ich mich von Arbeit per VPN zur Fritzbox verbinden kann . So die Aussage von der IT .

Ich habe eine echte IPv4 und 6 Adresse aber die Fritzbox unterstützt ja nur ipsec
keine-ahnung
keine-ahnung 23.10.2017 um 19:52:54 Uhr
Goto Top
Moin,
Leider ist das nicht möglich da ich von Arbeit aus auf mein heim Rechner zugreife
dann im Schwertkampf weiter Du Dich üben musst!

LG, Thomas
BassFishFox
BassFishFox 23.10.2017 aktualisiert um 20:06:23 Uhr
Goto Top
Hallo,

Leider ist das nicht möglich da ich von Arbeit aus auf mein heim Rechner zugreife und laut It Abteilung es keine Möglichkeit gibt das ich mich von Arbeit per VPN zur Fritzbox verbinden kann . So die Aussage von der IT .

Also nicht gewollt, das irgendwer von innen per VPN nach aussen geht. Gut.
Aber warum geht RDP von innen nach aussen? Nicht gut.

Mal so nebenbei. Was hast Du, wenn Du auf Arbeit bist auf dem heimischen PC zu tun? face-wink Meist ist es ja anders rum.

BFF
horstvogel
horstvogel 23.10.2017 aktualisiert um 19:59:32 Uhr
Goto Top
Zitat von @Motte990:

Danke für Eure Info mit dem VPN.

Leider ist das nicht möglich da ich von Arbeit aus auf mein heim Rechner zugreife und laut It Abteilung es keine Möglichkeit gibt das ich mich von Arbeit per VPN zur Fritzbox verbinden kann . So die Aussage von der IT .


Die Kollegen werden ja schon Ihre Gründe haben, Pfsense hinter der Fritzbox und nur die feste IP von Deinem Arbeitgeber auf 3389 erlauben. Hoffen wir mal das der Arbeitgeber eine hat.
Sonst ein SSL VPN Gateway kaufen, dann über den Browser ein VPN aufbauen. Da muss ich passen was dafür die Kosten sind. face-wink

Horst
Spirit-of-Eli
Spirit-of-Eli 23.10.2017 um 20:02:56 Uhr
Goto Top
Moin,

also wenn du eine RDP Session mit dem Arsch ins Internet stellst bist eben selbst mit dabei.
Da würde ich ja sogar noch lieber Teamviewer nutzen O.o

Welcher Arbeitgeber lässt dich denn auf deinem "vermeintlich" privaten Rechner Geschäftliche Dinge tun?
Allein das ist schon absurd genug!
Ansonsten müsstet wohl kaum von der Arbeit darauf zugreifen.

Nun denn, ohne eine Art VPN ist das ein riesen Unding und sollte kein Arbeitgeber unterstützen.

Habt ihr keine Möglichkeit, wie über Citrix, remote auf euren Firmen Systemen zu arbeiten??

Gruß
Spirit
horstvogel
horstvogel 23.10.2017 aktualisiert um 20:07:33 Uhr
Goto Top
darf man auf Windows 7 Ultimate eigentlich dauerhaft via RDP zugreifen? Outlook..... hast Du hoffentlich nicht drauf.
em-pie
em-pie 23.10.2017 um 20:07:47 Uhr
Goto Top
Interessant...
da verbietet die IT es, einen VPN-Tunnel von Innen nach außen zu nutzen, lässt gleichzeitig dann aber 3389 nach außen zu, um sich auf diesem Wege "Müll" einzufangen...
Und dann änderst du deinen RDP-Port auf einen vom Standard abweichenden Port und das lassen die immernoch zu...
Seltsam...
Bei uns dürfen die Jungs und Mädels nach draußen nur via Port 80, 443 und 21, und das auch nur via Zwischen geschaltetem Proxy...


Setz dir @home nen kleinen SSL-VPN-Server auf, z.B. mit einem Raspberry und OpenVPN: https://blog.doenselmann.com/raspberry-pi-als-openvpn-server/
Motte990
Motte990 23.10.2017 um 20:43:49 Uhr
Goto Top
Ne läuft da nicht . Warum?

Wenn ich mir ein Rasberry pi hole und dort openvpn schmeiße brauch ich aber auf dem arbeits pc Open VPN als Client . Bei uns auf Arbeit läuftcdas alles ein bissel komisch ab unser Mutter Konzern sitzt in Irland und von dort wird fast alles gesteuert und die IT in de naja kann man vergessen ....

Welches System lade ich am besten auf den PI drauf?
BassFishFox
BassFishFox 23.10.2017 um 20:49:12 Uhr
Goto Top
Halloele,

Die IT macht vermutlich nur das was ihr gesagt wird. Wenn die nix rauslassen sollen, was irgendwie VPN heisst, kommst Du nicht darum herum. Egal ob Du zuhause einen PI oder was sonst immer hinstellst.

Hoer einfach auf Deinen HeimPC von Arbeit aus zu besuchen und schliesse das Einfallstor RDP in Deiner Fritzbox. Und mach das bevor es zu spaet ist. Wenn es nicht schon zu spaet ist. face-wink

BFF
magicteddy
magicteddy 23.10.2017 um 22:01:21 Uhr
Goto Top
Moin,

was ist mit SSH?

Kannst Du Zuhause einen SSH Server installieren, Verbindung von der Arbeit mit Putty gesichert mit Key Auth und einem Tunnel für RDP. Damit steht RDP nicht mehr mit nacktem Allerwertesten im Netz sondern nur noch SSH, das ist mit Key Auth hinreichend sicher.

Mehr: SSH Key Login
SSH-Tunnel mit Putty oder Delight Tunnel Client

-teddy
LordGurke
LordGurke 23.10.2017 aktualisiert um 22:44:18 Uhr
Goto Top
Bevor hier noch wilder gebastelt wird:
ENTWEDER sollst du explizit deinen PC daheim auf Arbeit benutzen, dann muss man dir eine sichere Verbindung ermöglichen (und sei es "rückwärts" mit dem PC als VPN-Client in euer Firmennetz).
ODER es wird bestenfalls geduldet, aber eigentlich ist es nicht vorgesehen dass du per RDP nach Hause verbindest und bekommst deshalb keine Unterstützung dafür.
Dann solltest du dich fragen, warum das so ist und es hinnehmen. Hashtag #Abmahnung.

Denn ich als Administrator frage mich jetzt, was ein Mitarbeiter meines Unternehmens per RDP auf dem heimischen System so dringend während der Arbeitszeit machen muss.
Und da fällt mir außer der Umgehung von Internetfiltern (OK, da ist es bei euch offenbar nicht weit her) nichts ein.
nEmEsIs
nEmEsIs 23.10.2017 um 22:38:10 Uhr
Goto Top
Hi

Wenn es unbedingt ohne VPN etc. Sein muss schau dir das hier an ist in etwa so wie fail2ban unter Linux nur für Windows RDP.

https://gitlab.com/devnulli/EvlWatcher/tree/master/Versions

Bzw hier
https://gitlab.com/devnulli/EvlWatcher

Viel spaß
chgorges
chgorges 24.10.2017 um 07:48:37 Uhr
Goto Top
Ich muss an der Stelle trotzdem mal eine Lanze für den TE brechen, dass er die Eier hat und in einem Administrator-Forum offen zugibt, 3389 direkt ins WWW zu forwarden, egal ob mit oder ohne Masquerade, ist wirklich bemerkenswert :D
GrueneSosseMitSpeck
GrueneSosseMitSpeck 24.10.2017 um 09:41:41 Uhr
Goto Top
Moin, ein Bekannter hat das Problem wie folgt gelöst:

1.) eine VM auf dem Arbeitsplatz-PC installiert und über USB einen Wifi Stick angebunden von dem die Host-Hardware nichts mitkriegt wenn er in der VM genutzt wird. Das Dateisystem der VM ist mit Bitlocker verschlüsselt, so daß bei zufälligem Auffinden der vmdk Datei kein Alarm ausgelöst wird.

2.) zuhause steht ein VPN fähiger Router, dessen aktuelle IPv4 Addresse bei Änderung per Mail verschickt wird...

3.) der Rechner zuhause steht NICHT direkt im Internet sondern wird vom VPN Exit am Router aus angesprochen...

Alternative:

im Azure eine Private Cloud mieten, und 2 VPN Connects jeweils von den Clients aus machen. Die können sich dann untereinander sehen, aber sonst niemand. Ein echtes Peer to Peer VPN (sprich ein viruteller Router) mit dem sich 2 Clients verbinden gibts im MOment nicht und Azure ist der günstigste Anbieter... wobei die Azure Lösung eigentlich dafür da ist, eine Private Cloud zu hosten und diese über VPN anzusprechen. Bei dem bissle Traffic, der da über das RDP Protookoll entsteht, würde man im niedrigsten Abo-Level der Azure cloud bleiben, das sind so 99 US Cent pro Tag und pro Monat war meine ich ein 1 GB Traffic inclusive.
Dilbert-MD
Dilbert-MD 24.10.2017 um 09:42:10 Uhr
Goto Top
Moin,

'mal angenommen, es liegen zu hause noch Dateien von Home-Office-Tagen (Kind krank o.ä.) und im Büro sind fremde USB-Geräte nicht zugelassen,
dann würde ich als Workaround ein Tablet nehmen, darauf VPN einrichten (Software oder integriertes VPN) und auch zu hause einen VPN-Zugang einrichten und wenn Daten im Büro gebraucht werden, das Tablet über VPN mit daheim verbinden, und die Daten an die Büro-E-Mail-Adresse schicken.

Besser wäre es natürlich, der Arbeitgeber würde ein System bereitstellen, das es erlaubt, auf sicherem Weg die Daten, welche im Home-Office bearbeitet wurden, auf dem Gerät des Arbeitgebers zu speichern.

Gruß
Holger
Penny.Cilin
Penny.Cilin 24.10.2017 um 09:55:37 Uhr
Goto Top
Zitat von @Motte990:

Danke für Eure Info mit dem VPN.

Leider ist das nicht möglich da ich von Arbeit aus auf mein heim Rechner zugreife und laut It Abteilung es keine Möglichkeit gibt das ich mich von Arbeit per VPN zur Fritzbox verbinden kann . So die Aussage von der IT .
Was ist denn sooooooo wichtig, daß man von der Arbeit WÄHREND der Arbeit auf seinen Privatrechner zugreifen MUSS?
Erkläre das erstmal.
Es gibt für mich KEINEN Grund dazu, außer
  • Du überwachst Dein Grundstück per Videokamera (?)

Und was sagt Dein Arbeitgeber dazu, daß Du während der Arbeitszeit auf Deinen Rechner (privat?) zugreifst?
Sorry, daß verstehe ich nicht. Und falls Du nun mit dem Argument kommst, Du hast unternehmerische Daten auf Deinem Privatgerät und stellst dieses dann noch per RDP der Allgemeinheit Internet zur Verfügung.
Dann hast Du das Thema verfehlt bzw. nicht verstanden.

Gruss Penny
mankli
mankli 24.10.2017 um 23:33:53 Uhr
Goto Top
Starte mal dein Modem neu (oder gleich aus für paar Stunden), damit es eine neue Public-IP bekommt.
Danach sollte für ein Moment Ruhe sein, bis dich der nächste Scanner gefunden hat.
Smilymarco
Smilymarco 25.10.2017 um 15:50:55 Uhr
Goto Top
RDP absichern nach Außen

Im Dezember 2014 wurde dir schon VPN nahe gelegt... dürfte sich ja im den gleichen Aufbau handeln.


Zu den anderen "Lösungsvorschlägen" sag ich mal nichts... wer sich auf einem Firmen-PC selbstständig eine VM installiert um dann per VPN daheim privat zu surfen... wtf??? Wenn ich so etwas auf einem der Rechner hier entdecken würde, wäre Ende... zum einen die verschenkte Arbeits(!!)zeit und zum anderen das private Surfen...
Habt ihr keine Nutzungsvereinbarung für die PCs unterschrieben? Kann ich mir bei einer 20000 Mann Firma aus der Schweiz schlecht vorstellen...


Arbeit ist Arbeit und fertig. Privates muss daheim bleiben! (und Arbeit auf Arbeit face-wink )
Penny.Cilin
Penny.Cilin 25.10.2017 um 16:19:29 Uhr
Goto Top
Zitat von @Smilymarco:

RDP absichern nach Außen

Im Dezember 2014 wurde dir schon VPN nahe gelegt... dürfte sich ja im den gleichen Aufbau handeln.
@Smilymarco: Sehr gut recherchiert. face-smile - GUT GEMACHT. face-smile

Zu den anderen "Lösungsvorschlägen" sag ich mal nichts... wer sich auf einem Firmen-PC selbstständig eine VM installiert um dann per VPN daheim privat zu surfen... wtf??? Wenn ich so etwas auf einem der Rechner hier entdecken würde, wäre Ende... zum einen die verschenkte Arbeits(!!)zeit und zum anderen das private Surfen...
Da gebe ich Dir vollkommen Recht. Hatte ich auch schon geschrieben.

Habt ihr keine Nutzungsvereinbarung für die PCs unterschrieben? Kann ich mir bei einer 20000 Mann Firma aus der Schweiz schlecht vorstellen...
DUMM, wenn man seinen Arbeitgeber im Profil angibt.
back-to-topWie der wohl reagieren wird, wenn man ihm mitteilt, daß einer seiner Mitarbeiter während der Arbeitszeit PRIVAT am surfen ist???

Arbeit ist Arbeit und fertig. Privates muss daheim bleiben! (und Arbeit auf Arbeit face-wink )
Kein weiterer Kommentar dazu. face-smile
em-pie
em-pie 25.10.2017 um 16:31:53 Uhr
Goto Top
Na vielleicht nutzt Motte990 den Zugang ja auch nur während der Pausenzeiten, was bei uns z.B. für die private Nutzung gestattet ist (im Rahmen der gesetzlichen Regelungen/ Vorschriften).

Wenn es solch eine Vereinbarung gibt, bewegt der TO sich rechtlich auf relativ sicherem Boden.
Und mal weit hergeholt: Wenn der TO z.B. OnlineGames mag und die Pause nutzt um weiter zuspielen, die Unternehmensfirewall bzw. dessen Proxy solche Seiten jedoch verbietet...
Allerdings wäre TeamViewer o.Ä. dann vermutlich die bessere Wahl...

Bedenklich wird es ja erst, wenn der TO sich über den VPN-Tunnel/ die RDP-Sitzung Mist einfängt und diesen somit ins Unternehmen holt...
Aber dann hat die IT in meinen Augen ein Stückcheweit mit gepennt (wie oben von mir bereits erwähnt). Wenn die den Port 3389 bzw. alles ungleich 80/443/21 nach draußen ungefiltert durchlässt, was sie ja offensichtlich tut/ biligend in Kauf nimmt.
Penny.Cilin
Penny.Cilin 25.10.2017 um 16:52:33 Uhr
Goto Top
@em-pie: Stimmt, Da hast Du natürlich Recht. In den Pausenzeiten kann der Arbeitgeber nicht machen, weil das ist Privatzeit.

Dein letzter Absatz sollte dem Beitragsersteller allerdings zu denken geben.

P.S. Welches Kaliber nutzt Deine MP? face-wink
em-pie
em-pie 25.10.2017 aktualisiert um 17:28:28 Uhr
Goto Top
Zitat von @Penny.Cilin:

@em-pie: Stimmt, Da hast Du natürlich Recht. In den Pausenzeiten kann der Arbeitgeber nicht machen, weil das ist Privatzeit.
Jain. Kann er schon. Der WAN-Anschluss und die Ressourcen gehören ja dem Unternehmen. Folglich könnte er ja dafür sorgen (Betriebsvereinbarung), dass jegliche Nutzung des Unternehmensanschlusses für private Zwecke untersagt ist. Dem Virus ist es ja egal, ob er zwischen 12:00 und 12:45 (Pausenzeit) oder 15:13 (Arbeitszeit) "abgeholt" wird...

Was er natürlich machen könnte, wäre dem Arbeitnehmer ein dedizierte Wifi bereitzustellen, welches von der eigentlichen Infrastruktur (logisch) abgeschottet ist und im Extremfall nur während der Pausenzeiten (+- 10 Minuten) bereit steht. Dann kann der MA sich mit seinem privaten Tablet/ Smartphone/ Netbook/ whatever gerne einwählen und surfen...

P.S. Welches Kaliber nutzt Deine MP? face-wink
7,62 x 39mm
Wobei der Name sich eigentlich anderweitig herleitet face-wink
chgorges
chgorges 25.10.2017 um 17:34:05 Uhr
Goto Top
Zitat von @em-pie:
Aber dann hat die IT in meinen Augen ein Stückcheweit mit gepennt (wie oben von mir bereits erwähnt). Wenn die den Port 3389 bzw. alles ungleich > 80/443/21 nach draußen ungefiltert durchlässt, was sie ja offensichtlich tut/ biligend in Kauf nimmt.

Muss ich zustimmen, wobei selbst 21 schon kritisch ist. Mehr, als 80 und 443 nach draußen sollte nicht drin sein.
Penny.Cilin
Penny.Cilin 25.10.2017 um 17:37:14 Uhr
Goto Top
Zitat von @em-pie:

Zitat von @Penny.Cilin:
P.S. Welches Kaliber nutzt Deine MP? face-wink
7,62 x 39mm
Wobei der Name sich eigentlich anderweitig herleitet face-wink
OK - dann dachte ich in die falsche Richtung. face-wink

Einen schönen Tag noch.
P.S. ich muss mein Fahrzeug in der Garage mal wieder putzen. face-wink