Ugrás a tartalomhoz
  • 0

Remote Desktop kívülről...


Törölt_tag7592

Kérdés

Sziasztok,

Hosszú ideje használtam remote desktop-ot DDNS (no-ip) szolgáltatással, hogy az itthoni gépemet bárhonnan elérjem, ez azonban pár hónapja hirtelen megszűnt működni. Most jutottam oda, hogy volt időm nekiülni és foglalkozni a problémával. Mivel szerintem minden stimmel, és itthoni hálózatról megy is az RDP, gyanakszom a szolgáltatóra... Optinet, Budapest, 11. kerület.

Amit ellenőriztem:

- A DDNS szolgáltató frissíti az IP címemet (de IP címmel is próbáltam csatlakozni, úgy se megy).

- Windows Firewall-ban a 3389-es port nyitva (kompletten kikapcsoltam, nem volt változás)

- A 3389-es port a routeren (W724V) forwardolva a kliens gép IP címére (TCP és UPD, azonos beállításokkal korábban hónapokig működött). Ezt online eszközökkel ellenőriztem:

mxtoolbox.com - 3389 remote desktop Open

www.t1shopper.com/ - 134.255.69.xxx is responding on port 3389 (ms-wbt-server).

- Próbáltam másik gépre forwardolni a portot, ott bekapcsolni az RDP-t, próbából kikapcsolni az NLA-t, a routeren bekapcsolni az uPnP-t, Windows-ban kikapcsolni az IPv6-ot, semmi. 

Mivel szerintem minden jól van beállítva, és mégse működik, ezért azon a ponton vagyok, hogy nincs több ötletem. Ha bárkinek van bármi, azt szívesen fogadom és nagyon szépen köszönöm :)

Üdv,

Csaba

Link kommenthez
Megosztás más oldalakon

Ajánlott posztok

  • 1

Hát igen, elég fura. A Wireshark biztos nem nyúlt bele semmi olyan dologba, amitől megjavulhatna. Egy virtuális hálózati kártyát telepít ugyan (vagy valami hasonlót), de azon kívül nem sok vizet zavar. Nem bántja se a tűzfalat, se a fizikai hálókártyát/beállításait. Érdekes eset.

Nálunk Telekomos nettel nem volt semmi gond az RDP-vel, remélem nem is lesz. :)

Link kommenthez
Megosztás más oldalakon

  • 1
Ekkor: 2017. 02. 01. at 14:44, fgabor87 írta:

Távoli elérést mindig ugyan arról a helyről / gépről próbálod? Nem lehet, hogy ott van megfogva valami, és a kérés nem jut el a routeredig sem?

Egyébként a portforvardot ne így csináld. Egy tetszőlegesen kitalált külső portot irányíts át a 3389-re, pl 4567-est. És amikor távolról próbálsz rácsatlakozni, akkor: ddnsname.no-ip.org:4567
Valaki csinál egy portscannelést az ip-dre, és meglátja, hogy ez a port nyitva van, egyből rápróbál RDP-vel. Gondolom van jelszó a windows acc-on, de azért akkor se már na. :)

Ha a router tud olyat, hogy naplózza a csomagokat, akkor azt engedélyezheted, majd a távoli csatlakozási kísérlet után kimented a logot, és rákeresve a távoli IP-re megnézheted, hogy mi történt a csomagokkal, megérkeztek-e oda, stb...

@Springdale Tejlesen felesleges tologoatni a portot, ugyis szkennelni fogják. Amit portforwardal beengedsz. azt megpróbálják feltörni, akkor is ha sehova sem adtad meg az ipcímedet. Esetleg vpn-t lehet beebgedni gyarkan változtatott erős jelszóval. Teamviewer-t vagy logmeint érdemes használni ahol nem kell beengedni semmit.

Van pár mézesbödön project, lehet látni mit művelnek az iot eszközökre rakott botok.

 

Szerkesztve ekkor: Szerkesztő: acel
Link kommenthez
Megosztás más oldalakon

  • 1
2 órája, btz írta:

@acel

Teljesen nem haszontalan, elvinni a portot. Pl nem biztos, hogy az összes portodat végig scannelik, csak a nevesítetteket, mint a 21,22,80,8080,443...stb. Ezek a portok dedikálva vannak egy szolgáltatásnak, a szerver szoftver default beállítása általában a szolgáltatásának dedikált port. Ezt célszerű a wan oldalon eltolni 10000-es port szám fölé, ahol már nincs oly sok dedikált port. Így is előfordulhat, hogy scannelnek, de így már jóval többet kell scannelniük (többi idő, kapacitás ráfordítása), és mivel nem dedikált a port, nem tudhatják milyen szolgáltatást scanneltek le. Ha igen minimálisan is, de biztonságosabbá teszi a hálózatot.

Nincs korlát, feltört webcam-ek, termosztátok és okos tea főzők milliói próbálkoznak mindennel. A védett zónából kifelé indított ssl kapcsolat ami védett.

Link kommenthez
Megosztás más oldalakon

  • 1
Ekkor: 2/12/2017 at 17:29, fgabor87 írta:

Azért az szerintem is úgy van, hogy a próbálkozások nagy százaléka csak bizonyos portokat szkennel le. Én egyszer csináltam egy scannelést a routeremre 1-től 65.534-ig, több percet vett igénybe.

A feltört, vírussal fertőzött eszközök általában egy bizonyos portra koncentrálnak, és ott bizonyos módszerekkel próbálnak meg bejutni. Az ilyen custom portokra tett dolgokhoz már élő ember kell, vagy valami mesterséges intelligenciával felvértezett cucc.

Mindenesetre ha eltolod, akkor a scannelések jóval kisebb százaléka fogja megtalálni, így csökkenthető a támadások száma. Illetve a pingre adott válasz tiltásával is kiszűrhető a próbálkozások egy kis százaléka.
Ha meg egy hacker ezek ellenére talál egy nyitott portot valahol 10.000 felett, akkor már megérdekli, hogy próbálkozzon. :) Úgysem fog neki sikerülni. xD

Más helyen nyitott portRa tényleg nem szkennelnek gyakran. Ennek ellenére van az egy jelszó védelem amit egy beengedett port tud általában, szembeN a kétlépcsős azonosítással, belépés jelzéssel amit a kliens alapúak tudnak. A kérdés az hogy a saját jelszavadban bizol vagy egy külső cég tudásában és megbízhatóságában.

 

Link kommenthez
Megosztás más oldalakon

  • 1

@Springdale üdv újra itt.

Igazából ennek a port eltolásnak az a legnagyobb haszna, hogy ha egy hálózaton üzemeltetetsz például 10-20 távoli asztalos gépet, nem kell külön portot adni nekik, üzemelhet mind a 3389-en, nem kell külön külön módosítgatni a konfigokat. Egy helyen, a routerben lehet szépen managelni, hogy melyik gép melyik porton jelentkezzen a "külvilág" felé, szerintem praktikusabb, átláthatóbb, könnyebben kezelhető.

Kifelé viszont nem jó ha a 3389-en megy az RDP, mert egy támadó esetleg könnyebben levághatja, hogy milyen szolgáltatásról van szó, ezzel akár a dolgát is nagy mértékben megkönnyíthetjük (Lásd: Német Telekomos speedport eset, a támadó ott is tisztában lehetett vele, hogy CPE eszköz management szolgáltatás fut a porton, tehát ha nem egy szolgáltatásnak dedikált porton futtatják a szolgáltatást, esetleg nem is mindegyik speedporton van ugyan az a port nyitva, lehet, hogy csak fele vagy negyegyed annyi speedport bénul meg). Szóval van ennek gyakorlati haszna

Link kommenthez
Megosztás más oldalakon

  • 0

Hello,

Bocs, mostanában nem jártam erre :) A spontán javulást követően azóta is működik, azóta már a közben vásárolt NAS-hoz kapott DDNS szolgáltatással.

Értem én, hogy a portot eltolni 2 perc és megéri elméletben növelni vele a biztonságot, de nem igazán értem, mi történik, ha valaki azt látja, hogy az IP címemen nyitva van a 3389-es port, indít egy mstsc.exe-t és elkezdi bruteforce-olni a username-password párosításokat? Nem sok esélye van... :) Persze gondolom azokra utaznak, akiknél az username admin, a password meg 1234...

Link kommenthez
Megosztás más oldalakon

  • 0
29 perce, root írta:

Az én véleményem pedig az, hogy nem használunk RDP-t soha, semmilyen körülmények között. Teamviewer már inkább, de ha valaki igazán jót akar, akkor vesz egy PI-t párezerért és feltol rá egy l2tp-t.

Lustábbaknak pénzért a teamviewer és a logmein is ad vpn-t is.

Nem csak a brute-force támadásra használhaó egy nyitott port. Az  adott szolgáltatlás nem ismert hiányosságait is kihasználhatja (ld heartbleed)  vagy dos-ra is,

 

Link kommenthez
Megosztás más oldalakon

  • 0
4 perce, root írta:

Jujjj ez vicces volt. Nem találják meg. Ismered a nmap nevű picike kis softwert? Még azt is megmondja, hogy milyen service van a kitracet porton:DDDDD

Megbeszétük már, nem találja meg csak ha keresi.  A Mirai és társai gyakorlati mérések ls port logok alapján jelenleg nem foglalkoznak ezeknek a törésével.  Még nincs annyi bot hogy minden portot és ipt szkenneljenek. 

Link kommenthez
Megosztás más oldalakon

  • 0
4 órája, root írta:

Jujjj ez vicces volt. Nem találják meg. Ismered a nmap nevű picike kis softwert? Még azt is megmondja, hogy milyen service van a kitracet porton:DDDDD

Nem azt mondtam-írtam, hogy abszolút nem találja, találhatja meg. De Ha 3389xy adok meg akkor egy átlag nem fogja, mert olyan magas portokat nem fog már keresni.

Link kommenthez
Megosztás más oldalakon

Csatlakozz a közösséghez!

Posztolhatsz regisztráció előtt is. Ha már van regisztrációd, jelentkezz be itt.

Vendég
Válaszolj a kérdésre...

×   Formázással együtt illesztetted be a tartalmat.   Formázás eltávolítása

  Only 75 emoji are allowed.

×   A linkedet automatikusan beágyaztuk.   Linkként mutatás

×   Az előző tartalmat tároltuk. .   Itt törölhetsz

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Új...