/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Terminal Server bag FW
Fra : Lars Hulbæk


Dato : 12-03-04 15:08

Jeg har brug for lidt sparring om følgende setup:

Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den vil jeg
godt tillade brugere hjemmefra at logge på (en remote desktop).

Umiddelbart er min tanke, at

1) åbne for port 3389
2) lave en regl på fw der siger at trafik på port 3389 KUN går til Terminal
Serveren
3) lade brugeren logge på (og lade sig validere) med et RSA token (via vores
ACE server).

Hvad siger eksperterne til et sådan setup ?
Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?

Vh - og på forhånd tak
/LH



 
 
Lars Hulbæk (12-03-2004)
Kommentar
Fra : Lars Hulbæk


Dato : 12-03-04 15:49

> 1) åbne for port 3389
> 2) lave en regl på fw der siger at trafik på port 3389 KUN går til
Terminal
> Serveren
> 3) lade brugeren logge på (og lade sig validere) med et RSA token (via
vores
> ACE server).

Jeg glemte lige at tilføje, at jeg kun vil tillade 128 bit kryptering mellem
svr og client.

/LH



Christian E. Lysel (12-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 12-03-04 16:19

In article <wvj4c.1402$we6.56@news.get2net.dk>, Lars Hulbæk wrote:
> Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?

Ja.

Jeg ser flere problemmer:

1) Nogle finder en sårbarhed til terminalserveren og udnytter dette.
Det er ligegyldigt om du bruger RSA eller ej.

2) En angriber får dine terminal brugere vidersendt til sin
terminalproxy der vidersender trafikken til din terminalserver,
indtil brugeren logger på med RSA, herefter overtager angriberen
sessionen, og sender en fejlbesked til brugeren.

Hvilken mekanismer har terminal klienten til at sikre at den
"snakker" med den rigtige terminal server?

3) En angriber overtager en terminal session, efter brugeren har
logget på.

Hvilken mekanismer har terminal miljøet til at sikre sig imod
overtagelse af en session?


At en terminalserver typisk står på det interne netværk plejer
ikke at hjælpe på problemmerne.


Har i mulighed for at kører trafikken inden i en VPN forbindelse?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Lars Hulbæk (14-03-2004)
Kommentar
Fra : Lars Hulbæk


Dato : 14-03-04 13:51

> Har i mulighed for at kører trafikken inden i en VPN forbindelse?

Ja, og det er naturligvis min næste tanke - og grunden til at jeg ikke med
det samme skitserede det som en del af den tænkte løsning var, at jeg så
vidt muligt ville undgå endnu en klient-installation og deraf følgende
"bruger-reaktion". Det kan jeg imidlertid nu se, at de må affinde sig med.
Sikkerheden har for os - trods alt - første prioritet.

Tak for de gode svar !

Vh
Lars Hulbæk



Sophus Vørsing (16-03-2004)
Kommentar
Fra : Sophus Vørsing


Dato : 16-03-04 07:29


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:slrnc53l7g.9k4.chel@weebo.dmz.spindelnet.dk...
> In article <wvj4c.1402$we6.56@news.get2net.dk>, Lars Hulbæk wrote:
> > Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?
>
> Ja.
>
> Jeg ser flere problemmer:
>
> 1) Nogle finder en sårbarhed til terminalserveren og udnytter dette.
> Det er ligegyldigt om du bruger RSA eller ej.
>
> 2) En angriber får dine terminal brugere vidersendt til sin
> terminalproxy der vidersender trafikken til din terminalserver,
> indtil brugeren logger på med RSA, herefter overtager angriberen
> sessionen, og sender en fejlbesked til brugeren.
>
> Hvilken mekanismer har terminal klienten til at sikre at den
> "snakker" med den rigtige terminal server?
>
> 3) En angriber overtager en terminal session, efter brugeren har
> logget på.
>

Hvor trivielt er det at få adgang til en terminalserver på ovennævnte måder?

Mvh Sophus Vørsing



Christian E. Lysel (17-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 17-03-04 00:48

In article <40569d8f$0$10844$edfadb0f@dtext01.news.tele.dk>, Sophus Vørsing wrote:
>> 1) Nogle finder en sårbarhed til terminalserveren og udnytter dette.
>> Det er ligegyldigt om du bruger RSA eller ej.
>>
>> 2) En angriber får dine terminal brugere vidersendt til sin
>> terminalproxy der vidersender trafikken til din terminalserver,
>> indtil brugeren logger på med RSA, herefter overtager angriberen
>> sessionen, og sender en fejlbesked til brugeren.
>>
>> Hvilken mekanismer har terminal klienten til at sikre at den
>> "snakker" med den rigtige terminal server?
>>
>> 3) En angriber overtager en terminal session, efter brugeren har
>> logget på.
>>
>
> Hvor trivielt er det at få adgang til en terminalserver på ovennævnte måder?

1. hvis der eksistere en sårbar (kendt og ukendt for offentligheden) og
denne ikke er rettet rigtigt på serveren; trivielt.

2. Den mener jeg også er trivielt, det kræver at du på en
eller anden måde sidder imellem klienten og serveren, dette
kan opnåes ved at udnytte svagheder i DNS eller IP.

3. Dette regner jeg ikke med er nemt, da sessionen er krypteret,
dog ved jeg ikke hvor god implementationen er...men ville
nok selv vælge ikke at stole på den.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Flemming Riis (12-03-2004)
Kommentar
Fra : Flemming Riis


Dato : 12-03-04 16:22

"Lars Hulbæk" <*@*.*> skrev i en meddelelse
news:wvj4c.1402$we6.56@news.get2net.dk

> Jeg har brug for lidt sparring om følgende setup:
>
> Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den vil jeg
> godt tillade brugere hjemmefra at logge på (en remote desktop).
>
> Umiddelbart er min tanke, at
>
> 1) åbne for port 3389
> 2) lave en regl på fw der siger at trafik på port 3389 KUN går til
Terminal
> Serveren
> 3) lade brugeren logge på (og lade sig validere) med et RSA token (via
vores
> ACE server).
>
> Hvad siger eksperterne til et sådan setup ?
> Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?

Det har tidligere været exploits imod TS så jeg ville umiddelbart anbefale
at pakke det ind i noget vpn , samt at du exponrer muligheden for at folk
kan lave lockouts på andre ved at "gætte" passwords (some de nok aldrig
rammer rigtigt pga rsakeys)




Steen Holm Pedersen (13-03-2004)
Kommentar
Fra : Steen Holm Pedersen


Dato : 13-03-04 09:26


"Lars Hulbæk" <*@*.*> skrev i en meddelelse
news:wvj4c.1402$we6.56@news.get2net.dk...
> Jeg har brug for lidt sparring om følgende setup:
>
> Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den vil jeg
> godt tillade brugere hjemmefra at logge på (en remote desktop).
>
> Umiddelbart er min tanke, at
>
> 1) åbne for port 3389

Min første tanke er at flytte portnr. til noget andet en 3389, som jo vil
være den første der vil blive portscannet i tilfælde af at der findes nye
exploits til TS. Den nye port du vælger skal naturligvis mappes til din TS.

http://support.microsoft.com/default.aspx?scid=187623

Jeg ved ikke nok om emnet til at vurdere om det er sikkerhed nok, men
flytningen af porten bruger jeg selv og det fungerer fint. Det kan være lidt
bøvlet at oprette adgang til den, men jeg synes det er en lille pris at
betale for det ekstra besvære en evt. hacker skal igennem.


--
/Steen
Fjern alt til og med sidste underscore i email.



Christian E. Lysel (14-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 14-03-04 02:35

In article <c2ugd2$52q$1@sunsite.dk>, Steen Holm Pedersen wrote:
> Min første tanke er at flytte portnr. til noget andet en 3389, som jo vil
> være den første der vil blive portscannet i tilfælde af at der findes nye
> exploits til TS. Den nye port du vælger skal naturligvis mappes til din TS.

Jeg har hørt det også hjælper at male sin firewall grøn!

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Kent Friis (14-03-2004)
Kommentar
Fra : Kent Friis


Dato : 14-03-04 10:04

Den 14 Mar 2004 01:34:32 GMT skrev Christian E. Lysel:
>In article <c2ugd2$52q$1@sunsite.dk>, Steen Holm Pedersen wrote:
>> Min første tanke er at flytte portnr. til noget andet en 3389, som jo vil
>> være den første der vil blive portscannet i tilfælde af at der findes nye
>> exploits til TS. Den nye port du vælger skal naturligvis mappes til din TS.
>
>Jeg har hørt det også hjælper at male sin firewall grøn!

Nå, det er *derfor* at Cisco PIX er grønne

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Peder Vendelbo Mikke~ (13-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 13-03-04 21:33

Lars Hulbæk skrev:

> Jeg har brug for lidt sparring om følgende setup:

> Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den
> vil jeg godt tillade brugere hjemmefra at logge på (en remote desktop).

Læs eventuelt "Windows Server 2003 Terminal Server Security":

http://www.microsoft.com/downloads/details.aspx?familyid=402a0cd1-9e4d-4007-8eaf-c30623e71250&displaylang=en

Du vil sandsynligvis kunne få bedre svar i denne gruppe:
news:dk.edb.system.ms-windows.terminal-services, da gruppen befolkes af
folk som sandsynligvis tidligere har gjort det du overvejer at gøre.


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste