Springdale

Remote Desktop kívülről...

Kérdés

Sziasztok,

Hosszú ideje használtam remote desktop-ot DDNS (no-ip) szolgáltatással, hogy az itthoni gépemet bárhonnan elérjem, ez azonban pár hónapja hirtelen megszűnt működni. Most jutottam oda, hogy volt időm nekiülni és foglalkozni a problémával. Mivel szerintem minden stimmel, és itthoni hálózatról megy is az RDP, gyanakszom a szolgáltatóra... Optinet, Budapest, 11. kerület.

Amit ellenőriztem:

- A DDNS szolgáltató frissíti az IP címemet (de IP címmel is próbáltam csatlakozni, úgy se megy).

- Windows Firewall-ban a 3389-es port nyitva (kompletten kikapcsoltam, nem volt változás)

- A 3389-es port a routeren (W724V) forwardolva a kliens gép IP címére (TCP és UPD, azonos beállításokkal korábban hónapokig működött). Ezt online eszközökkel ellenőriztem:

mxtoolbox.com - 3389 remote desktop Open

www.t1shopper.com/ - 134.255.69.xxx is responding on port 3389 (ms-wbt-server).

- Próbáltam másik gépre forwardolni a portot, ott bekapcsolni az RDP-t, próbából kikapcsolni az NLA-t, a routeren bekapcsolni az uPnP-t, Windows-ban kikapcsolni az IPv6-ot, semmi. 

Mivel szerintem minden jól van beállítva, és mégse működik, ezért azon a ponton vagyok, hogy nincs több ötletem. Ha bárkinek van bármi, azt szívesen fogadom és nagyon szépen köszönöm :)

Üdv,

Csaba

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

36 válasz erre a kérdésre

4 órája, root írta:

Jujjj ez vicces volt. Nem találják meg. Ismered a nmap nevű picike kis softwert? Még azt is megmondja, hogy milyen service van a kitracet porton:DDDDD

Nem azt mondtam-írtam, hogy abszolút nem találja, találhatja meg. De Ha 3389xy adok meg akkor egy átlag nem fogja, mert olyan magas portokat nem fog már keresni.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 perce, root írta:

Jujjj ez vicces volt. Nem találják meg. Ismered a nmap nevű picike kis softwert? Még azt is megmondja, hogy milyen service van a kitracet porton:DDDDD

Megbeszétük már, nem találja meg csak ha keresi.  A Mirai és társai gyakorlati mérések ls port logok alapján jelenleg nem foglalkoznak ezeknek a törésével.  Még nincs annyi bot hogy minden portot és ipt szkenneljenek. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 hours ago, oldmumus said:

Uraim,

RDP is megoldható´csak valami magasabb porttal amit már nem találnak meg. Nekem jó módszer lett és 0 támadás.

Jujjj ez vicces volt. Nem találják meg. Ismered a nmap nevű picike kis softwert? Még azt is megmondja, hogy milyen service van a kitracet porton:DDDDD

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Uraim,

RDP is megoldható´csak valami magasabb porttal amit már nem találnak meg. Nekem jó módszer lett és 0 támadás.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 minutes ago, acel said:

Lustábbaknak pénzért a teamviewer és a logmein is ad vpn-t is.

 

 

Nah ez az, amiben sosem bíznék meg:))) Saját kézzel feltelepített l2tp ipsec-kel, saját beállításokkal. Nincs kiskapu benne:)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
29 perce, root írta:

Az én véleményem pedig az, hogy nem használunk RDP-t soha, semmilyen körülmények között. Teamviewer már inkább, de ha valaki igazán jót akar, akkor vesz egy PI-t párezerért és feltol rá egy l2tp-t.

Lustábbaknak pénzért a teamviewer és a logmein is ad vpn-t is.

Nem csak a brute-force támadásra használhaó egy nyitott port. Az  adott szolgáltatlás nem ismert hiányosságait is kihasználhatja (ld heartbleed)  vagy dos-ra is,

 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Az én véleményem pedig az, hogy nem használunk RDP-t soha, semmilyen körülmények között. Teamviewer már inkább, de ha valaki igazán jót akar, akkor vesz egy PI-t párezerért és feltol rá egy l2tp-t.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@Springdale üdv újra itt.

Igazából ennek a port eltolásnak az a legnagyobb haszna, hogy ha egy hálózaton üzemeltetetsz például 10-20 távoli asztalos gépet, nem kell külön portot adni nekik, üzemelhet mind a 3389-en, nem kell külön külön módosítgatni a konfigokat. Egy helyen, a routerben lehet szépen managelni, hogy melyik gép melyik porton jelentkezzen a "külvilág" felé, szerintem praktikusabb, átláthatóbb, könnyebben kezelhető.

Kifelé viszont nem jó ha a 3389-en megy az RDP, mert egy támadó esetleg könnyebben levághatja, hogy milyen szolgáltatásról van szó, ezzel akár a dolgát is nagy mértékben megkönnyíthetjük (Lásd: Német Telekomos speedport eset, a támadó ott is tisztában lehetett vele, hogy CPE eszköz management szolgáltatás fut a porton, tehát ha nem egy szolgáltatásnak dedikált porton futtatják a szolgáltatást, esetleg nem is mindegyik speedporton van ugyan az a port nyitva, lehet, hogy csak fele vagy negyegyed annyi speedport bénul meg). Szóval van ennek gyakorlati haszna

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hello,

Bocs, mostanában nem jártam erre :) A spontán javulást követően azóta is működik, azóta már a közben vásárolt NAS-hoz kapott DDNS szolgáltatással.

Értem én, hogy a portot eltolni 2 perc és megéri elméletben növelni vele a biztonságot, de nem igazán értem, mi történik, ha valaki azt látja, hogy az IP címemen nyitva van a 3389-es port, indít egy mstsc.exe-t és elkezdi bruteforce-olni a username-password párosításokat? Nem sok esélye van... :) Persze gondolom azokra utaznak, akiknél az username admin, a password meg 1234...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Nekem a topicot olvasva az jutott eszembe, hogy a port forwarding a Cisco eszközön kevés volt az RDP-hez. A firewall szintet LOW-ra billentve indult be.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 2/12/2017 at 17:29, fgabor87 írta:

Azért az szerintem is úgy van, hogy a próbálkozások nagy százaléka csak bizonyos portokat szkennel le. Én egyszer csináltam egy scannelést a routeremre 1-től 65.534-ig, több percet vett igénybe.

A feltört, vírussal fertőzött eszközök általában egy bizonyos portra koncentrálnak, és ott bizonyos módszerekkel próbálnak meg bejutni. Az ilyen custom portokra tett dolgokhoz már élő ember kell, vagy valami mesterséges intelligenciával felvértezett cucc.

Mindenesetre ha eltolod, akkor a scannelések jóval kisebb százaléka fogja megtalálni, így csökkenthető a támadások száma. Illetve a pingre adott válasz tiltásával is kiszűrhető a próbálkozások egy kis százaléka.
Ha meg egy hacker ezek ellenére talál egy nyitott portot valahol 10.000 felett, akkor már megérdekli, hogy próbálkozzon. :) Úgysem fog neki sikerülni. xD

Más helyen nyitott portRa tényleg nem szkennelnek gyakran. Ennek ellenére van az egy jelszó védelem amit egy beengedett port tud általában, szembeN a kétlépcsős azonosítással, belépés jelzéssel amit a kliens alapúak tudnak. A kérdés az hogy a saját jelszavadban bizol vagy egy külső cég tudásában és megbízhatóságában.

 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Azért az szerintem is úgy van, hogy a próbálkozások nagy százaléka csak bizonyos portokat szkennel le. Én egyszer csináltam egy scannelést a routeremre 1-től 65.534-ig, több percet vett igénybe.

A feltört, vírussal fertőzött eszközök általában egy bizonyos portra koncentrálnak, és ott bizonyos módszerekkel próbálnak meg bejutni. Az ilyen custom portokra tett dolgokhoz már élő ember kell, vagy valami mesterséges intelligenciával felvértezett cucc.

Mindenesetre ha eltolod, akkor a scannelések jóval kisebb százaléka fogja megtalálni, így csökkenthető a támadások száma. Illetve a pingre adott válasz tiltásával is kiszűrhető a próbálkozások egy kis százaléka.
Ha meg egy hacker ezek ellenére talál egy nyitott portot valahol 10.000 felett, akkor már megérdekli, hogy próbálkozzon. :) Úgysem fog neki sikerülni. xD

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
2 órája, btz írta:

@acel

Teljesen nem haszontalan, elvinni a portot. Pl nem biztos, hogy az összes portodat végig scannelik, csak a nevesítetteket, mint a 21,22,80,8080,443...stb. Ezek a portok dedikálva vannak egy szolgáltatásnak, a szerver szoftver default beállítása általában a szolgáltatásának dedikált port. Ezt célszerű a wan oldalon eltolni 10000-es port szám fölé, ahol már nincs oly sok dedikált port. Így is előfordulhat, hogy scannelnek, de így már jóval többet kell scannelniük (többi idő, kapacitás ráfordítása), és mivel nem dedikált a port, nem tudhatják milyen szolgáltatást scanneltek le. Ha igen minimálisan is, de biztonságosabbá teszi a hálózatot.

Nincs korlát, feltört webcam-ek, termosztátok és okos tea főzők milliói próbálkoznak mindennel. A védett zónából kifelé indított ssl kapcsolat ami védett.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@acel

Teljesen nem haszontalan, elvinni a portot. Pl nem biztos, hogy az összes portodat végig scannelik, csak a nevesítetteket, mint a 21,22,80,8080,443...stb. Ezek a portok dedikálva vannak egy szolgáltatásnak, a szerver szoftver default beállítása általában a szolgáltatásának dedikált port. Ezt célszerű a wan oldalon eltolni 10000-es port szám fölé, ahol már nincs oly sok dedikált port. Így is előfordulhat, hogy scannelnek, de így már jóval többet kell scannelniük (többi idő, kapacitás ráfordítása), és mivel nem dedikált a port, nem tudhatják milyen szolgáltatást scanneltek le. Ha igen minimálisan is, de biztonságosabbá teszi a hálózatot.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 2017. 02. 01. at 14:44, fgabor87 írta:

Távoli elérést mindig ugyan arról a helyről / gépről próbálod? Nem lehet, hogy ott van megfogva valami, és a kérés nem jut el a routeredig sem?

Egyébként a portforvardot ne így csináld. Egy tetszőlegesen kitalált külső portot irányíts át a 3389-re, pl 4567-est. És amikor távolról próbálsz rácsatlakozni, akkor: ddnsname.no-ip.org:4567
Valaki csinál egy portscannelést az ip-dre, és meglátja, hogy ez a port nyitva van, egyből rápróbál RDP-vel. Gondolom van jelszó a windows acc-on, de azért akkor se már na. :)

Ha a router tud olyat, hogy naplózza a csomagokat, akkor azt engedélyezheted, majd a távoli csatlakozási kísérlet után kimented a logot, és rákeresve a távoli IP-re megnézheted, hogy mi történt a csomagokkal, megérkeztek-e oda, stb...

@Springdale Tejlesen felesleges tologoatni a portot, ugyis szkennelni fogják. Amit portforwardal beengedsz. azt megpróbálják feltörni, akkor is ha sehova sem adtad meg az ipcímedet. Esetleg vpn-t lehet beebgedni gyarkan változtatott erős jelszóval. Teamviewer-t vagy logmeint érdemes használni ahol nem kell beengedni semmit.

Van pár mézesbödön project, lehet látni mit művelnek az iot eszközökre rakott botok.

 

Szerkesztve ekkor: Szerkesztő: acel

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Biztosan nem a WS oldotta meg a gondot, mert korábban semmilyen PC nem volt kívülről elérhető RDP-vel, tehát akármi is volt a gond, az nem az adott kliens-ben leledzett.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hát igen, elég fura. A Wireshark biztos nem nyúlt bele semmi olyan dologba, amitől megjavulhatna. Egy virtuális hálózati kártyát telepít ugyan (vagy valami hasonlót), de azon kívül nem sok vizet zavar. Nem bántja se a tűzfalat, se a fizikai hálókártyát/beállításait. Érdekes eset.

Nálunk Telekomos nettel nem volt semmi gond az RDP-vel, remélem nem is lesz. :)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hello,

Fel is tettem a Wireshark-ot, és próbáltam kapcsolódni. Ami pedig ezután történt, az a lehető legrosszabb, ugyanis legnagyobb megdöbbenésemre csatlakozott, és azóta is megy. Semmin nem változtattam, amikkel kísérletezgettem, mivel nem hoztak változást, azonnal vissza is állítottam.

Mit is mondjak, nekem több mint gyanús, hogy hetek óta nem működött, indítok itt egy topic-ot, majd 3 napon belül magától megjavul... :) Mindegy, köszönöm, akárki is volt, és természetesen mégegyszer köszi mindenkinek, aki hozzászólt! 

Természetesen véleményeket szívesen olvasnék a spontán gyógyulásról is ;)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

A routeren nincs remote control lehetőség? Tehát hogy a webes felületét kívülről is elérd? Mert akkor ezt lehetne engedélyezni, és megnézni, hogy azt egyáltalán eléred-e. Bár ha tűzfaltesztet rá tudtad engedni, akkor biztos elérhető.

Aztán nekem már csak egészen elvadult ötleteim vannak.

Én feltenném az elérni kívánt gépre a WireShark nevű programot, azzal lehet monitorozni a hálózati forgalmat csomag szinten.
Mivel a Wireshark mindent monitoroz, ezért a "felvételt" csak arra az időre kell elindítani, amíg megy a kísérlet, és lehetőleg minden más netet használó programot be kell zárni. Így is valószínűleg több száz sor keletkezik majd benne.

Első körben routeren úgy állítanám be a portforwardot, hogy nemlétező IP-re forwardolnám. Ilyenkor a Wireshark-ban látni kell, hogy a router küldözgeti a whois 192.168.1.xxx jellegű kéréseket. Ezeket szemmel is ki lehet szúrni, de biztos lehet valahogy erre is szűrni.
Ha ez látszik, akkor a kérések eljutnak a routerig, és az próbálná továbbítani.

Ezután visszaállítanám a porforwardot jóra, majd mobilról rápróbálnék, természetesen előtte megnézném az IP címét. Majd ha megvolt a próba, Wireshark-ban szűrnék (biztos lehet ilyet) a mobil IP címére, így kiderülne, hogy eljutott-e a gépig a kérés. Bár lehet, hogy portforwardnál nem a mobil IP-jén jön befelé a csomag, hanem a router belső címén, de akkor meg a 3389-es portra kell szűrni.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Köszönöm, eleve custom port-ra fogom tenni az RDP-t, ha működni fog, de természetesen erős jelszó védi a Windows account-ot...

Sajnos a Speedport-nak elég egyszerű log-ja van csak, abban semmi új nem jelenik meg egy-egy sikertelen kapcsolódási kísérlet után.

Ja és természetesen nem mindig ugyanonnan próbálkozom, leginkább a mobilomról használnám, ott biztos nem akadályozza semmi :) 

Szerkesztve ekkor: Szerkesztő: Springdale

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@fgabor87

Annyiban kiegészíteném, hogy ha valaki port scannel, akkor a 4567-es portot is leszkenneli, tehát látja a szkennelő, hogy nyitott egy port, de nem tudja, hogy távoli asztal szolgáltaás fut azon a porton, így nem biztos, hogy elsőre kideríti, hogy mivel kell bepróbálkozni, míg szolgáltatásnak dedikált port esetén ez valamivel esélyesebb. Célszerű 10000 felett randommportot választani.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Távoli elérést mindig ugyan arról a helyről / gépről próbálod? Nem lehet, hogy ott van megfogva valami, és a kérés nem jut el a routeredig sem?

Egyébként a portforvardot ne így csináld. Egy tetszőlegesen kitalált külső portot irányíts át a 3389-re, pl 4567-est. És amikor távolról próbálsz rácsatlakozni, akkor: ddnsname.no-ip.org:4567
Valaki csinál egy portscannelést az ip-dre, és meglátja, hogy ez a port nyitva van, egyből rápróbál RDP-vel. Gondolom van jelszó a windows acc-on, de azért akkor se már na. :)

Ha a router tud olyat, hogy naplózza a csomagokat, akkor azt engedélyezheted, majd a távoli csatlakozási kísérlet után kimented a logot, és rákeresve a távoli IP-re megnézheted, hogy mi történt a csomagokkal, megérkeztek-e oda, stb...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Sziasztok!

Köszönöm szépen a segítő szándékot :) Igen, belső hálóban minden megy, azzal nincs gond. 

Ma későn érek haza, de holnap felteszem a teamviewer-t, root, ha megvagyok, írok privit! Köszönöm mégegyszer előre is!

Ja, az edge traversal ki volt kapcsolva még a Windows által létrehozott RDP firewall rule-ban is. Bekapcsoltam (in, out, tcp, udp), de sajnos nem történt változás. Pedig a definíció alapján tényleg logikusnak tűnt ez is...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

CU2MR...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Még valami eszembe jutott..... az RDP settingsben az edge traversal be van kapcsolva?

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hozz létre egy fiókot vagy jelentkezz be a kommenteléshez

Ahhoz, hogy kommentelhess, tagnak kell lenned.

Fiók létrehozása

Hozz létre a közösségünkben egy új fiókot. Igazán egyszerű!


Új fiók regisztrálása

Bejelentkezés

Már van fiókod? Jelentkezz be itt!


Bejelentkezés most