4
Non-standard-Ports für RDP
Hallo,
wir sind an mehreren Stellen auf RDP-Zugänge angewiesen. Wir setzen hier neben zeitnahen Patches und NLA auf Verwendung von non-standard-Ports. Also z.B. statt 3389 xxxxx.
Wie sinnvoll ist das im Kontext der aktuellen RDP-Schwachstelle? Hat jemand Infos zur Funktionsweise? Werden dann die präparierten RDP-Pakete direkt auf den Standard-Port gesandt oder ist das so "intelligent", dass vorher geprüft wird, wo RDP läuft oder ... ?
Fred
wir sind an mehreren Stellen auf RDP-Zugänge angewiesen. Wir setzen hier neben zeitnahen Patches und NLA auf Verwendung von non-standard-Ports. Also z.B. statt 3389 xxxxx.
Wie sinnvoll ist das im Kontext der aktuellen RDP-Schwachstelle? Hat jemand Infos zur Funktionsweise? Werden dann die präparierten RDP-Pakete direkt auf den Standard-Port gesandt oder ist das so "intelligent", dass vorher geprüft wird, wo RDP läuft oder ... ?
Fred
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 485450
Url: https://administrator.de/contentid/485450
Printed on: April 26, 2024 at 14:04 o'clock
4 Comments
Latest comment
Hi,
RDP in 2019 nur über VPN, oder eben gar nicht. Alles andere ist grob fahrlässig und bringt euch in Teufels Küche.
wir sind an mehreren Stellen auf RDP-Zugänge angewiesen. Wir setzen hier neben zeitnahen Patches und NLA auf Verwendung von non-standard-Ports. Also z.B. statt 3389 xxxxx.
Wie sinnvoll ist das im Kontext der aktuellen RDP-Schwachstelle?
Gar nicht, Portmasquerade ist nur ein Hinauszögern, keine Verhinderung.Wie sinnvoll ist das im Kontext der aktuellen RDP-Schwachstelle?
RDP in 2019 nur über VPN, oder eben gar nicht. Alles andere ist grob fahrlässig und bringt euch in Teufels Küche.
Ich habe es so gelesen, dass Microsoft die Lücke selbst gefunden hat und es noch keine Exploids gäbe. Es liegt also an denjenigen, der den Exploid schreibt, wie intelligent er ihn baut. Ein Portscan ist einfach. Jeden gefundenen offenen Port zu untersuchen, auch.
Wie immer heißt es: RDP niemals öffentlich, nur mit VPN.
Wie immer heißt es: RDP niemals öffentlich, nur mit VPN.
Moin,
kann ich so bestätigen.
Es ist nur eine Frage der Zeit bis Ihr unfreundlichen Besuch und einen Crypto-Trojaner bekommt.
Fail2Ban hilft auch nur wenig, da viele Angreifen über hunderte IP-Adressen auf der ganzen Welt verfügen.
Und dann ist da auf einmal doch der User "Scan" mit dem Kennwort "Scan" den irgendwann irgendjemand irgendwo aml als Dom-Admin eingerichtet hat. Und Zack und vorbei.
Also entweder VPN oder ein Sicherheitsgateway.
##Link entfernt
kann ich so bestätigen.
Es ist nur eine Frage der Zeit bis Ihr unfreundlichen Besuch und einen Crypto-Trojaner bekommt.
Fail2Ban hilft auch nur wenig, da viele Angreifen über hunderte IP-Adressen auf der ganzen Welt verfügen.
Und dann ist da auf einmal doch der User "Scan" mit dem Kennwort "Scan" den irgendwann irgendjemand irgendwo aml als Dom-Admin eingerichtet hat. Und Zack und vorbei.
Also entweder VPN oder ein Sicherheitsgateway.
##Link entfernt
Hi
wenn der Bot deine IP Scannt, dann findet der den Port trotzdem. Und auf welchem Port der Dienst läuft ist für die Sicherheitslücke egal.
Dein System ist also potentiell schon kompromitiert. Lass den ###, das ist fahrlässig.
Für sowas gibt's erstens die gute alte VPN und zweitens RDP Gateways.
Da läuft das alles dann getunnelt über SSL. Macht das ganze zwar nur ein bisschen sicherer, aber immerhin.
wenn der Bot deine IP Scannt, dann findet der den Port trotzdem. Und auf welchem Port der Dienst läuft ist für die Sicherheitslücke egal.
Dein System ist also potentiell schon kompromitiert. Lass den ###, das ist fahrlässig.
Für sowas gibt's erstens die gute alte VPN und zweitens RDP Gateways.
Da läuft das alles dann getunnelt über SSL. Macht das ganze zwar nur ein bisschen sicherer, aber immerhin.