Microsofts Remote Desktop Protocol wird immer öfter zum Angriffsziel

Das so genannte Remote Desktop Protocol (RDP) von Microsoft ist ein proprietäres Netzwerkprotokoll des Redmonder Unternehmens und ermöglicht das Teilen und Steuern eines Computers bzw. Desktops aus der Ferne. Als Möglichkeit, vollen Zugriff über ... mehr... Internet, Hacker, Laptop, Illegal Bildquelle: wellnews.ru Internet, Hacker, Laptop, Illegal Internet, Hacker, Laptop, Illegal wellnews.ru

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das ist überhaupt nur deshalb möglich, weil es Admins gibt, die den benötigten Port nach Außen öffnen und somit den Server mit dem nackten Hintern öffentlich ins Internet stellen. Schwache und erratbare Kombinationen aus Kennung und Passwort tun danach ein übriges dazu (weil es fast überall z. B. die Anmeldekennung "admin" gibt, der Rest ist ein simples Ausprobieren von Passwörtern).

Oberste Pflicht, um so etwas generell zu verhindern, ist natürlich ein Tunnel! Ohne VPN ist das sonst wie ein Gloryhole in der Herrntoilette im Bahnhofsklo!

Ein Admin, der externen RDP-Zugriff ohne VPN zuläßt, gehört entlassen. Allerdings machen das auch viele Privatleute (die, die zu Hause einen eigenen Server betreiben) so, und die wissen es oft nicht besser.

Mit stets eingesetztem VPN gäbe es diese News gar nicht.
 
@departure: Ich schließe mich deiner Aussage ausnahmslos an.
 
@departure: VPNs haben praktisch identische Schwachstellen wie schwache Passwörter, allerdings ist es auch weit eleganter das ganze per HTTP (gut da hättest du deinen tunnel :P ) zu veröffentlichen anstatt direkt per UDP/TCP
 
@0711: ein wenig Geist sollte man auch in eine VPN-Konfiguration legen!!!
Nur Benutzername und Passwort ist da schon etwas wenig. - aber der Benutzername wird nicht Administrator sein, wie bei vielen RDP-Zugriffen.
Also muss man schonmal Usernamen raten ;)

Sonst sollte PSK oder PKI Begriffe bei VPNs sein.
 
@saust: Tja auch RDP Zugriffe lassen sich härten und die authentifzierung muss nicht nur über Benutzername und Passwort (ob nun Admin oder nicht) laufen, Smartcards/PKINIT oder generell 2 faktorlösungen lassen sich durchaus auch an RDP knüpfen....

Ob man nun den Geist in eine VPN Lösung packt oder RDP ist letztlich wurst, beides lässt sich schlecht, mehr so geht so und relativ gut abgesichert betreiben/veröffentliche, da habe ich eher zweifel ob jemand "Ein Admin, der externen RDP-Zugriff ohne VPN zuläßt, gehört entlassen." fähig ist so eine aussage sachlich treffen zu können oder schlicht keine Ahnung hat von was er spricht.
 
@0711: sicher :) - es hängt ja auch von den Anwendungsfällen ab - jede Lösung die etwas nach Extern für einen begrenzten Nutzerkreis zur Verfügung stellt, sollte eine ordentliche Absicherung haben. Je nach Schutzbedürftigkeit sind dies ggf. mehrere Stufen.
 
@saust: Benutzername und Passwort bezog sich auf VPN oben.
 
"•Schwache Passwörter: Alle Begriffe, die im Wörterbuch zu finden sind, und die nicht eine Mischung auf Groß- und Kleinbuchstaben verwenden, dazu Nummern und Sonderzeichen. Diese Passwörter können für so genannte Brute Force-Attacken ausgenutzt werden."
Merkwürdig, genau das widerspricht der aktuellen Empfehlung des NIST, zumindest wie ein schwaches Kennwort aussieht oder was ein schwaches ist...da sind mehrere Worte aus einem Wörterbuch (oder Sprachgebrauch) nämlich eine der Empfohlenen Varianten, sollte das FBI eigentlich wissen
 
@0711: Und Du solltest das nicht so halb erzählen. Zwar ist eine der Empfehlungen, dass man Wörter nimmt. Aber dafür muss die Länge deutlich höher sein. Ein Passwort mit weniger als 12 Zeichen kann man per se als unsicher ansehen. Aber auch mit 12 Zeichen ist ein Passwort nicht sicher. Jetzt kann man die Komplexität erhöhen, z.B. durch unterschiedliche Zeichenklassen. Das macht es für Brute-Force-Angriffe ein wenig schwerer, aber für die Menschen die es eingeben müssen viel viel viel schwerer. Sinnvoller ist es daher statt dessen normale Wörter zu nehmen, aber dafür viel mehr Zeichen. Ein Passwort aus mehreren Wörtern mit 20 oder 25 Zeichen ist für Menschen einfach, aber für Brute-Force-Angriffe viel viel viel schwerer.
 
@Nunk-Junge: Was du beschreibst entspricht nicht der Empfehlung des NIST, die für Normalanwender empfohlene Länge ist min 8 Zeichen und sie machen keine vorgaben was die verwendete Zeichen angeht.
Für höheren Schutzbedarf empfehlen Sie min 12 Zeichen aber auch hier keine Vorgabe zu den verwendeten Zeichen.

Eine Abhängigkeit von der länge und der zu verwendeten Zeichen gibt es in der NIST Empfehlung schlicht und ergreifend nicht, ansonsten bitte mal raussuchen ( https://pages.nist.gov/800-63-3/sp800-63b.html ). Ja ich kenne auch deren Blogbeitrag dazu, welche da nicht im Widerspruch steht

Einzig wäre noch eine Prüfung gegen bekannte passwortlisten zu erwähnen und eine Sperre nach x Versuchen (was nicht auf manuelle falscheingaben zurückzuführen ist, also tendenziell im Bereich >20 aber konkret nennen sie keine zahl soweit ichs im kopf hab).

Ja längere Kennwörter können mehr Sicherheit bieten, die Zeichenanzahl macht hier aber nur bedingt den Ausschlag, die (merkbare) Kombinationsmöglichkeit ist der Knackpunkt, "lorem ipsum dolor sit amet, consectetur adipisici elit" ist einfach keine gute Idee genauso wie "Kraftfahrzeug-Haftpflichtversicherung" obwohl es sehr lang ist, ersteres aber in einer zufälligen Reihenfolge (die für einen selbst einleuchtet, warum auch immer) wäre vermutlich eine gute variante - wobei ich eher empfehlen würde die Kombinationsmöglichkeit mit weiteren "sonstigen" Worten zu erweitern.

Stumpfe Brute Force Angriffe sind auch nicht mehr so üblich, man geht bei passwortattacken nur noch in Ausnahmefällen von stumpfen brute forcing aus.

Und zu guter letzt bleibt es dabei
"Alle Begriffe, die im Wörterbuch zu finden sind, und die nicht eine Mischung auf Groß- und Kleinbuchstaben verwenden"
ist nach der NIST Empfehlung ganz klar falsch
 
@0711: Es ist immer wieder interessant wie verschiedene IT Abteilungen ihre Methode als die einzig korrekte darstellen. Ultra kompliziertes Passwort, alle 4 Wochen muss es geändert werden. Was natürlich dazu führt, dass die Passwörter aufgeschrieben werden, und jeder Kollege im Prinzip weiß wo er den Zettel finden kann.

Ich verschicke nur noch folgenden Comic, danach ist die Diskussion eh zu 99% rum . https://xkcd.com/936/
 
@-soho-: Man muss fairerweise sagen das dies nicht zwingend die Schuld der IT sein muss, Compliance, Zertifzierungsanforderungen u.ä. können die IT Abteilungen durchaus dazu "zwingen"
Bei PCI DSS lassen sich z.B. relativ einfach die Passwortanforderungen (Komplexität, Länge usw.) durch andere "Industriestrandards" ersetzen...nur der Punkt der regelmäßigen Änderung (alle 90 Tage) lässt sich nicht "einfach so" umgehen und eine Kompensationskontrolle mag auch nicht jeder schreiben und seine rübe für hinhalten. Das BSI hat hier ja auch eine Meinung was widerrum Zertifizierungsvoraussetzung sein kann...
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen