Discussione:
Amministrazione remota...
(troppo vecchio per rispondere)
Smallville
2005-01-25 11:37:14 UTC
Permalink
Ciao,

mi sono fatto aprire la porta 3389,ed ho provato a connettermi a
Terminal Server.
Tutto funziona bene....ma quanto è davvero sicura la cosa ?

Nel senso tutto è protetto solo da una password.
Per una maggiore sicurezza sapreste indicarmi come rinominare l'account
dell'amministratore ?

Almeno dimezzerei la probabilità che qualcuno si logghi.
Altri consigli.
Ho letto di ZeBeDee il problema è che io mi sono fatto aprire la 3389 e
il provider (il router è in comodato d'uso) ci mette una vita ad aprirmi
e chiudermi porte.

Secondo voi è possibile configurare ZeBeDee e Terminal Server in modo
che funzioni avendo la sola 3389 aperta ?

Grazie dei consigli.
Ciao.
Stefano Fio
2005-01-25 12:04:57 UTC
Permalink
Post by Smallville
Ciao,
mi sono fatto aprire la porta 3389,ed ho provato a connettermi a
Terminal Server.
Tutto funziona bene....ma quanto è davvero sicura la cosa ?
Nel senso tutto è protetto solo da una password.
Per una maggiore sicurezza sapreste indicarmi come rinominare
l'account dell'amministratore ?
Almeno dimezzerei la probabilità che qualcuno si logghi.
Altri consigli.
Che significa sicuro?? purtroppo la sicurezza non è misurabile.... quindi il
"QUANTO"
non potrà dirtelo nessuno...
..è sicura come è sicura qualunque applicazione protetta da pwd,
Quindi i consigli sono sempre gli stessi:

- rinominiamo l'administrator con un altro nome a tua scelta (anche se
questo cmq non garantisce "l'anonimato" c'è sempre il discorso SID ..500).
- usiamo una strong password, complexity e via dicendo.
- alziamo al massimo (client permettendo) il livello di encryption.
- se possibile facciamo passare l'rdp sotto una vpn
Post by Smallville
Ho letto di ZeBeDee il problema è che io mi sono fatto aprire la 3389
e il provider (il router è in comodato d'uso) ci mette una vita ad
aprirmi e chiudermi porte.
problema comune a molti..
Post by Smallville
Secondo voi è possibile configurare ZeBeDee e Terminal Server in modo
che funzioni avendo la sola 3389 aperta ?
Intendi non farlo funzionare come gestore del tunnel cifrato? ma come puro
wirewall?
Post by Smallville
Grazie dei consigli.
prego.
Post by Smallville
Ciao.
ciao.
--
Stefano FIO - ***@tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Andrea Gallazzi [MVP]
2005-01-25 12:04:06 UTC
Permalink
Post by Smallville
Tutto funziona bene....ma quanto è davvero sicura la cosa ?
C'è un livello di criptazione definibile nelle policy del servizio.
Post by Smallville
Nel senso tutto è protetto solo da una password.
Per una maggiore sicurezza sapreste indicarmi come rinominare
l'account dell'amministratore ?
Lo trovi nelle policy di account.
Post by Smallville
Secondo voi è possibile configurare ZeBeDee e Terminal Server in modo
che funzioni avendo la sola 3389 aperta ?
Una porta = un servizio.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Smallville
2005-01-25 22:57:13 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by Smallville
Secondo voi è possibile configurare ZeBeDee e Terminal Server in modo
che funzioni avendo la sola 3389 aperta ?
Una porta = un servizio.
Ciao!
Certo lo sò, intendevo dire se posso far ascoltare ZeBeDee sulla 3389 e
cambiare quella di default di Terminal Server.
Quindi da ZeBeDee mappare dalla 3389 alla nuova porta.

Grazie.
Andrea Gallazzi [MVP]
2005-01-26 08:41:46 UTC
Permalink
Post by Smallville
Certo lo sò, intendevo dire se posso far ascoltare ZeBeDee sulla 3389
e cambiare quella di default di Terminal Server.
Quindi da ZeBeDee mappare dalla 3389 alla nuova porta.
Scusa, ho capito male.
Certo, se cambi porta è sicuramente meglio.
In questo modo eviti gli scanner che cercano direttamente sulla porta.
Ma se ricevi un attacco diretto te la trovano.
Per questo ti suggerivano una VPN... ma devi essere sicuro che sia
invalicabile!
Ciao.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Lamberti Mario [MVP]
2005-01-25 12:37:14 UTC
Permalink
Post by Smallville
Ciao,
mi sono fatto aprire la porta 3389,ed ho provato a connettermi a
Terminal Server.
Tutto funziona bene....ma quanto è davvero sicura la cosa ?
Nel senso tutto è protetto solo da una password.
Per una maggiore sicurezza sapreste indicarmi come rinominare
l'account dell'amministratore ?
Almeno dimezzerei la probabilità che qualcuno si logghi.
Altri consigli.
Ho letto di ZeBeDee il problema è che io mi sono fatto aprire la 3389
e il provider (il router è in comodato d'uso) ci mette una vita ad
aprirmi e chiudermi porte.
Secondo voi è possibile configurare ZeBeDee e Terminal Server in modo
che funzioni avendo la sola 3389 aperta ?
Grazie dei consigli.
Ciao.
Personalmente la mia opinione in merito è di pubblicare un Terminal Server
solo attraverso una VPN, per vari motivi.

Ci sono tool, tipo ProbeTS che effettuano la scansione alla ricerca di
server terminal anche se posti in ascolto su una porta differente dalla 3389
(la porta standard)
Tool come TSGrinder che effettuano tentativi di brute force attack per
scoprire la password ma anche se non ci riescono potrebbero produrre un
denial of service, visto che il processo di logon su terminal server
richiede un pò di risorse, rendendo il tuo terminal server fuori uso, tieni
anche conto che il canale di comunicazione verso il terminal service è
criptato quindi un IDS sarebbe inefficace. Per proteggerti da questo attacco
potresti abilitare un messaggio di avviso prima del logon.
In genere con terminal service rendi disponibile risorse importanti della
tua azienda (gestionali, ecc) quindi risorse confidenziali che richiedono un
grado di sicurezza elevato e mettere un terminal service direttamente su
internet non mi sembra il caso.

Quì trovi un link su come effettuare un hardening di un terminal server

http://nsa2.www.conxion.com/win2k/guides/w2k-19.pdf

Ciao
--
Lamberti Mario
MCSE MCSA MCSA-M on Windows 2000
MVP - Windows Server
Smallville
2005-01-25 22:58:32 UTC
Permalink
Post by Lamberti Mario [MVP]
Quì trovi un link su come effettuare un hardening di un terminal server
http://nsa2.www.conxion.com/win2k/guides/w2k-19.pdf
Ciao
Volevo usare TS per l'amministrazione remota del server.
Per evitare applicazioni come Pc Anywhere.
Sarebbero + sicure di TS ?

Grazie.
Lamberti Mario [MVP]
2005-01-26 08:23:26 UTC
Permalink
Post by Smallville
Volevo usare TS per l'amministrazione remota del server.
Per evitare applicazioni come Pc Anywhere.
Sarebbero + sicure di TS ?
Grazie.
Sarebbe più sicuro creare una VPN per poi connettersi al server attraverso
Terminal Services.

Ciao
--
Lamberti Mario
MCSE MCSA MCSA-M on Windows 2000
MVP - Windows Server
ObiWan
2005-01-25 13:25:54 UTC
Permalink
Post by Smallville
mi sono fatto aprire la porta 3389,ed ho provato a
connettermi a Terminal Server. Tutto funziona bene
....ma quanto è davvero sicura la cosa ?
Non molto, esistono parecchi "tools" in grado di
"schiodare" la codifica TS e vedere IN CHIARO
tutto quello che passa, anzi, alcuni permettono
addiruttura di replicare "live" il desktop...
Post by Smallville
Ho letto di ZeBeDee il problema è che io mi sono fatto
aprire la 3389 e il provider (il router è in comodato d'uso)
ci mette una vita ad aprirmi e chiudermi porte.
Scusa, ma a questo punto, non ti converrebbe installare un
TUO firewall e far lavorare il router solo come .. router (o al
limite come NAT 1:1) ? In questo modo avresti la gestione
diretta delle porte da aprire/chiudere e potresti fare quello
che vuoi senza aspettare che lo faccia il tuo ISP, senza
considerare che personalmente NON mi fido delle config
"firewall" fatte dai vari ISP
Post by Smallville
Secondo voi è possibile configurare ZeBeDee e Terminal
Server in modo che funzioni avendo la sola 3389 aperta ?
Beh.. si, basterebbe installare ZBD su una macchina e poi
configurare tale macchina con l'indirizzo IP di quella mappata
sul router con la 3389 (quest'ultima avrà ovviamente un nuovo
IP) poi configurare ZBD per usare la 3389 impostando quindi
i vari mappings .. ad esempio verso la macchina TS

Ciao
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com

DNS "fail-safe" for Windows clients.
http://ntcanuck.com

408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Continua a leggere su narkive:
Loading...