Drooz3R Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Když jsme u toho RDP do internetu, nemáte vymyšlený nějaký způsob, jak to udělat bezpečně? Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
szt Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 (upraveno) Inherentně nebezpečné RDP do internetu není, stejně jako není inherentně nebezpečné přecházet ulici. U obojího však platí že dost záleží na způsobu jak to člověk realizuje. Záplatovaného a řádně nakonfigurovaného RDP kombinovaného s DesktopGateway a 2FA (Azure MFA, Duo.com) není důvod se bát. Tedy pokud tě to zajímá, začni studiem google klíčových slov: "RD Gateway""Azure 2FA" Video z přednášky https://www.wug.cz/brno/akce/748-RDP-a-RD-GW-SSO (pokud existuje) ti také neublíží, byť neřeší vše (ale historicky všem RD serverům které jsem kdy podědil a po někom předělával by prospělo alespoň to co je ve videu, tedy spácháš-li to v tomto rozsahu, budeš mít jednu z těch lepších instalací). A na vše samozřejmě validní certifikáty, dnes už i RD gateway, broker a host certifikáty vystavuji přes automatické LE ACME. Někteří kolegové neumí řádně nastavit nastavit zabezpečení a pak se bojí cokoli vystavit do internetu, obvykle však titíž kolegové klidně do internetu vystaví například nezáplatovaný Exchange SMTP konektor bez podpory validního SSL/TLS a to jim nevadí, protože je to "méně na očích". RDP není více nebo méně bezpečné než cokoli jiného, ale už bych se opakoval - záleží na způsobu jak to člověk provede. Upraveno 12. července 2019 uživatelem szt Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Drooz3R Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Díky, podívám se na to. Snad to video najdu. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Prochy68 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Je to vec nazoru, ja jsem zastancem pristupu do site pouze prostrednictvim VPN reseni, napr. Juniper Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
szt Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Přístup "nechám to v defaultu a děravý, ale zaplácnu to VPNkou, takže cajk, hejl mi to stejně zaplatí" je poměrně častý. Nejen u RDP. To je ovšem variace na přístup "co není zvenku vidět, na to kašlu", montážníci oken pro tento účel používají montážní pěnu ?namontuju to jako prase s 2cm bulharskou tolerancí, kde budou fuky to zapěním, takže cajk, hejl mi to stejně zaplatí?. No a pak jsou montážníci kteří jdou na školení, naučí se technologický postup a ejhle, spotřeba pěny limitně poklesne k nule. Spoléhat na VPN je krátkozraký přístup - už jen proto že zabezpečit je to potřeba i proti útočníkovi zevnitř - nikdo nikdy přece neřekl že útok nemůže přijít zevnitř, stačí zákeřný zaměstnanec, dodavatel, nebo tam někdo něco dotáhne ani o tom neví. A najednou není vnitřek chráněný. Ve firmě kde je 1000 lidí, z toho polovina rumunských brigádníků o kterých se s mírnou nadsázkou ani pořádně neví jak se jmenují a kdo je najal je to dost problém. Ve chvíli kdy to chce mít zákazník bezpečné i zevnitř, je potřeba naučit se dělat (nejen) RDP bezpečně. No a když už se to člověk jednou naučil a má v tom rutinu, dělá to tak všude, protože proč mít různé konfigurace různé, že. Beztak to člověk dělá powershellem a jen pro různá prostředí jen vymění konstanty na začátku skriptu. Netvrdím že je tomu tak i v případě k kolegy přede mnou, ale mnohdy je přístup ?dám to za VPN? pouze projevem ?nechce se mi naučit dělat to pořádně?. Takovýcho kolegů se pak obvykle jízlivě ptám zda i webová (OWA) a konektory rozhraní mailserverů dávají za VPN a zda každý kdo si chce s jejich zákazníky mailovat obdrží VPN přístupy. Takovýto dotaz je zcela namístě, protože RD gateway je webová služba - úplně stejně jako OWA. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Prochy68 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 A jeje, to je zase naucna debata jako vzdy..... To ze nervu RDP do internetu a pouzivam VPN prece jeste neznamena, ze mam vsechno v bordelu a resim to takhle. VPN potrebuju stejne na dalsi aplikace, takze nemusim resit RD gateway apod. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
szt Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 (upraveno) "VPN potrebuju stejne na dalsi aplikace, takze nemusim resit RD gateway apod." aneb "Škrábu se levou rukou za pravým uchem, abych si ušetřil práci se škrábáním se pravou rukou". Deployment RD Gateway je pět až deset dobře mířených řádků v powershellu. Tedy nic co by se časově nevyplatilo udělat, instalace jakékoli VPN na klienty zabere více času, nehledě k tomu že vytáčení VPN je pro uživatele permanenní opruz. Je rok 2019, doba cloudová. Vytáčí někdo VPN když si chce přečíst mail, pokud má mailbox na Office365? Vytáčí někdo VPN když si chce otevřít soubor z OneDrive ? Vytáčí někdo VPN když si chce otevřít soubor z Dropboxu ? Existuje dnes vůbec jedna jediná služba ke které se leze pomocí VPN ? Je rok 2019, osvícený správce se VPN vyhýbá kde může, doporučuji přečíst článek https://thenewstack.io/beyondcorp-google-ditched-virtual-private-networking-internal-applications/ Výcuc pro neznalé angličtiny - (nejen) google ze své interní firemní infrastruktury VPN totálně, vědomě a plánovaně vykopl (ditch) a nadále nerozlišuje mezi interní a externí sítí. Klíčové odstavce: Today, none of Google?s employee-facing applications are on a virtual private network. They all have public IP addresses.The company feels this approach, which it has dubbed BeyondCorp, is the ?new cloud model,? for doing cloud security, asserted Neal Mueller, head of infrastructure product marketing at Google, who gave a presentation on this approach at the O?Reilly Security conference, held recently in New York.This model can be fall under a number of rubrics in the security community, including ?zero-trust? or ?perimeter-less? security. It is the opposite of the traditional approach of security, which Mueller described as ?the castle? approach, in which a strong firewall is used to set off an internal network that can only be accessed by way of a virtual private network (VPN).The problem with the ?castle? approach is that once the perimeter is breached, the entire internal network, and all the associated applications, are at risk. ?Do not trust your network. It is probably already owned,? added Max Saltonstall, a Google program manager for corporate engineering, who also participated in the presentation. Phishing, man-in-the-middle, SQL Injection attacks all find fertile ground on VPNs.Plus, a VPN was cumbersome to use, and slowed performance, especially for overseas workers. And it is no walk in the park for admins either. To set up a new user, the admin would typically have to configure the cloud network, along with setting up the IPSec rules and firewall rules, the VPN. This is followed by a lot of testing. Lépe bych to nenapsal, a když lze jako vpnless provozovat infrastruktura Googlu, jistě tak lze i ta tvá, předpokládám že není složitější. Upraveno 12. července 2019 uživatelem szt Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Prochy68 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 No jiste, jakekoli jine reseni nez tvuj nazor je samozrejme spatne jako vzdy.Vubec te nenapadne, ze mezinarodni korporat ktery je na 4 kontinentech nejde do cloudu treba taky z pravnich a jinych duvodu o bezpecnosti nemluvim. A cca 4000 aplikaci, ktere se u nas pouzivaji a jejich propagaci do internetu a bezpecnost bys resil jak? VPN je zdaleka nejjednodussi, nejlevnejsi a nejbezpecnejsi reseni.A tim ja oosbne tuto debatu koncim, howg. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
szt Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 (upraveno) Google je korporát na všech kontimentech, zaměstnává 98.771 lidí, ročně utrží kolem sta miliard dolarů, spotřebuje polovinu celosvětově vyrobených disků a zálohovacích médií a na VPNless provoz přejít dokázal. Ve světle tohoto je kdokoli kdo se brání byť jen zamyslet se nad VPNless přístupem a argumentuje velikostí korporátu malinko podezřelý. Ať se to "konzervativním" ajťákům líbí nebo ne, Google patří mezi firmy které udávají trendy. Nakonec způsob jakým se teď nad představou VPNless řešení ošíváš je stejný jako když se mnozí jiní ajťáci ošívali nad iniciativou LE, nad iniciativou DNSFlagDay, nad koncem podpory Win7. Zrušení VPN je za dveřmi a není to rozhodnutí uživatele szt z Chronomagu. I tvůj korporát jednou na VPNless přístup přejde, buď budeš u toho nebo ne. V extrémním případě ti budou uživatelé bušit na dveře a ptát se proč jim nutíš jakousi VPN, když nikde jinde se to nepoužívá. Mileniálové neví co je to MSDOS, za deset let nebudou čerství absolventi vědět co je to VPN. Dnes ještě můžeš krmit vedení řečmi jak je VPN super, až se ti v korporátu obmění lidi a začnou se tam objevovat ti kteří zažili VPNless provozy, půjde to krmení čím dál hůře až to jednoho dne nepůjde. A kdo je připraven, není překvapen. Udělej si večer čas a projdi si https://cloud.google.com/beyondcorp/ Upraveno 12. července 2019 uživatelem szt Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Radek124 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Hele szt, nejdřív si vygoogli kolik stovek tisíc lidí globálně zaměstnává (namátkou - taky spousta věcí jede výhradně přes jejich VPN, hostovanou kdesi v Indii) třeba páně Toyodova korporace - no a pak jim coby významný trendsetter, influencer a znalec Mikrotíků pošli oficiální protest, že jsou naprostí retardi živořící se svým Kaizenem (a převládajícími Windows 7) sto let za (náma) opicema... Prochym zmíněné síťové licenční klíče jsou kategorie sama o sobě, u nich prostě neexistuje že by se vystavovaly na otevřený internet, napospas hackerům, Rusákům a Číňanům. Poslední hřebíček do firemní rakvičky by byla už jen autorizace nezaručenými službami třetích stran, typu Google, Microsoft, nebo žumpa na bezpečnost jménem Facebook... Apropos, ráčil sis během svého expozé vůbec všimnout že CHRONOMAG je fórum o hodinkách - a že toto vlákno má primárně pomáhat lidem hledajícím rychlou "vyprošťovací" radu, kterým jsou učené dyšputace o IT trendech naprosto šumák? Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Prochy68 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 (upraveno) to szt Nepsouvej mi laskave nesmysly, co kde a komu tvrdim, delam a myslim si. Mozna by ses mohl misto toho zamyslel nad tim, ze to co je dobre pro google a Tebe, nemusi byt zrovna ted vhodne pro kazdy korporat. Upraveno 12. července 2019 uživatelem Prochy68 Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
szt Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Pánové, jedna z ukázek jak to dopadne když se "spoléhá" na VPN se jmenuje Bradley Manning. Dostal přístup do VPN, jeho ajťák byl tedy spokojen, vše cajk. Ovšem díky absenci "zero trust" konceptu pak ukradl i dokumenty ke kterým neměl mít nikdy přístup. Paradoxně kdyby měli server vystavený na veřejné IP, ale řádně nakonfigurovaný a hlavně kdyby měli funkční DRM, nikdy by toho nenakradl tolik. No jo, armáda a její konzervativnost.Toyota ani jiný automotive není dobrý příklad, i to jsou "konzervativní" obory. Brát si příklad z konzervativních dinosaurů člověka nikam neposune, co takhle podívat se jak to má Tesla ? Kolik raket poslal do vesmíru pan Toyodo a kolik pan Musk ? Já věřím že lidstvo posouvají nikoli dinosauři konzervující 20 let staré technologie, ale inovátoři. I já osobně znám české automotive které mají stroje běžící na Windows 3.11 a licenci vázanou na třicet let starý IDE disk, jehož výrobce (stroje i disku) dávno zkrachoval. Fajn, nějak se tam s tím poperu když objektivně nelze jinak, ale pokud se někdo zeptá jak se vystaví RDP do internetu, nebudu mu nutit obecně zastaralé řešení poplatné extrémní situaci v "konzervativním" prostředí.Jednu automotive montovnu jsem přebíral, ajťák nepředal hesla, no a co, nebyla potřeba, stačil můj notebook a kabel strčený do zásuvky v kanceláři sekretářky jednatele namísto tiskárny. Pak už jen najít nezáplatované iLO karty, cracknout si hesla, v iLO si vzít KVM na hypervisor, rebootnout, změnit v recovery mode hesla...no a dál už to znáte. Když jsem jednateli řekl že totéž bych udělal kdybych použil UTP zásuvku co je na ní na volně přístupném záchodě připojené rádio, malinko zezelenal. Ale VPN měli a audity od odběratelů také :-) Dnes je to celé jednak VPNless a jednak i když přijdeš s kabelem přímo do racku nebo na záchod, nenajdeš port který se s tebou bude bavit, protože 801.1X. Pravda, nebýt toho výstupu ze záchodem, jednatel by mi VPNless řešení neschválil, předchozí ajťák ho také 20 let krmil řečmni že VPN je základ.Respektuji že možná pracujete v korporacích kde je těžké prosadit cokoli moderního, ale občas nakoukněte jak se to dělá jinde. Do automotive se blíží krize, Zetor Brno propouštěl loni, VW Bratislava propouští od včerejška. Až budete hledat uplatnění mimo automotive, abyste nebyli zaskočeni že každý druhý dvacetiletý spratek dnes RD Gateway udělá z příkazového řádku, poslepu, s integrací na MFA službu a ACME. Mimochodem, když jsme v automotive, víte co všechno provozuje třeba taková Škoda Auto v Microsoft Azure ? Nejméně od roku 2012 ? Znám i nemocnice která mají data v cloudu, včetně citlivých údajů kdo má HIV, kapavku a syfla. Zcela v souladu s regulacemi. I v byrokratickém Německu, centru automotive to jde: https://customers.microsoft.com/en-us/story/ruppinerkliniken Nicméně k věci: RD Gateway není nic jiného než RDP over HTTPS, úplně stejně jako OWA je RPC over HTTPS. Tvrdit že nelze vystavit RDP over HTTPS nástrojem k tomu určeným by bylo jako tvrdit že nelze vystavit ani mailserver. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
geometr Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Máš to dobře všechny ty zkratky? Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Prochy68 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 No tvl a co maji vsechny ty popisovany prusery primo spolecnyho s VPN resenim? Odpovim si sam, naprosto nic. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Anela Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 ja vubec nechapu jak sem muze szt prispivat, kdyz je tento server na nezabezpecenem http...a podle delky vetsiny jeho prispevku vyse vlastne radeji asi nechci znat pripadnou odpoved Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
szt Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 (upraveno) ad "No tvl a co maji vsechny ty popisovany prusery primo spolecnyho s VPN resenim? Odpovim si sam, naprosto nic." To si odpovídáš špatně. Společnou mají absenci vpnless přístupu / absenci zero trust přístupu / absenci mikrosegmentace. Kdyby tam seděl ajťák který by spoléhal na jiné prostředky než VPN, útočník by to měl o dost těžší. Řešení kde oldschool ajťák udělá VPN a pak vnitřní síť, v lepším případě DMZ a několik málo VLAN (tedy reálně ne více než 2-5 segmentů) jsou dnes prostě out. Při dobře udělané mikrosegmentaci ztrácí VPN smysl. Jasně, samotná VPN neškodí, ale její existence nutně vede k nesprávnému náhledu na bezpečnost. Jakmile se správce začne dívat na síť moderně, zjistí že VPN nepotřebuje, no a když v infrastruktuře něco nepotřebuju, tak to zruším, protože proč živit zbytečnou službu a otravovat jí uživatele, že. Na ajtáka který raději deployuje na sto notebooků obskurního VPN klienta a nutí uživatele vytáčet den co den VPN jen proto že není schopen korektně vypublikovat RDP patří železná tyč, stejně jako na toho který v modemech zákazníků zapíná WEP nebo WPA bez AESu. Evidentně si doteď nepřečetl nebo nechtěl pochopit googlí verzi konceptu, tak nabídnu jednodušší českou verzi téhož: http://www.arrowecs.cz/web/infobaze.nsf/0/42F0666EDB7039A6C1257F64004793BF Upraveno 12. července 2019 uživatelem szt Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Prochy68 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 A ja se znovu ptam, jak souvisi VPN se zabezpecenim uvnitr site? Co to ma spolecneho s 801.x, 802.1x, dmr, ilo, idrac a tim ze si nekde hackoval hypervizor? A znovu si odpovidam, nijak. Porad michas jablka s hruskama. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
szt Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 (upraveno) Prochy, ty jsi ten kdo tu nedávno tvrdil že "model osi nezna pulka ajtaku". Začíná mi docházet že i ty mezi ně budeš patřit, pak je nereálné vysvětlit ti cokoli co vyžaduje trochu schopnost abstrakce, nadhledu, zkušenosti a tak. Ono se to totiž jeví jakože OSI model je na tebe složitý, deployment RD Gateway je na tebe složitý, Mikrotik je na tebe složitý, pochopit že v zero-trust přístupu neexistuje žádná "vnější" nebo "vnitřní" síť a tedy logicky ani nemůže existovat VPN je na tebe složité, navíc cokoli je na tebe složité a priori odmítáš a přepínáš se do defenzivy. A svým způsobem jsi možná dokonce na neznalost OSI modelu pyšný. Za této situace ti nedovedu vysvětlit proč je VPN zlo. Faktem je že dokud nepřijde pořádná krize, i ajťák který v životě neviděl RD Gateway se uživí, to zase ne že ne, takže zůstaňme u toho že některé věci ti prostě vysvětlit nedovedu. Upraveno 12. července 2019 uživatelem szt Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Prochy68 Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Ted jsi to trefil, ty jsi proste IT guru vsehomira :-) Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
siwi Odesláno 12. července 2019 Nahlásit Sdílet Odesláno 12. července 2019 Kluci, nepřestávejte. Mě to hrozně baví číst, i když tomu vůbec nerozumím. Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Doporučené příspěvky
Pokud chcete odpovídat, musíte se přihlásit nebo si vytvořit účet.
Pouze registrovaní uživatelé mohou odpovídat
Vytvořit účet
Vytvořte si nový účet. Je to snadné!
Vytvořit nový účetPřihlásit se
Máte již účet? Zde se přihlaste.
Přihlásit se