Kryptoanarchizm
Włamy w firmie przez pulpity zdalne - Wersja do druku

+- Kryptoanarchizm (http://kryptoanarchizm.libertarianizm.net)
+-- Dział: Kryptoanarchizm (/forumdisplay.php?fid=14)
+--- Dział: Dla Początkujących (/forumdisplay.php?fid=38)
+--- Wątek: Włamy w firmie przez pulpity zdalne (/showthread.php?tid=3943)



Włamy w firmie przez pulpity zdalne - kordix - 05.11.2017 15:51

U mnie w firmie wdrażamy system ERP. Ogarynamy serwery i oprogramowanie do sklepu internetowego, sprzężonego z ERP. Normalnie sklep powinien chodzić po prostu w przeglądarce. Jednak w naszej firmie jest coś takiego jak zatwierdzanie zamówień przez dystrybutorów, którzy przyjmują zamówienia od handlowców i nie idzie tego obsłużyć w przeglądarce.

Ograne jest to w taki sposób że każdy dystrybutor wchodzi przez pulpit zdalny na serwer i dostaje okrojoną wersję ERP w którym może zatwierdzać zamówienia. Na serwerze znajduje się Windows Server i każdy dystrybutor ma swoje konto domenowe. Trzeba było do tego zrobić przekierowanie i otwieranie portów.

Po kilku dniach włamali się Chińczycy i zniszczyli całą robotę. Zainstalowano zabezpieczenia Sofos ale Chińczycy znowu się wdarli.

Zerwaliśmy umowę z homem i teraz szukamy odpowiednio zabezpieczonych serwerów.

Pytanie czy samo rozwiązanie jest bezpieczne i czy nie da się tego rozwiązać w inny sposób. Ktoś z was może używał aplikacji RemoteApp? Zastanawiam się czemu pulpity zdalne są takie niebezpieczne. A może nie są, tylko trzeba odpowiednio to skonfigurować. Jakimś pomysłem na zabezpieczenie są whitelisty. Tylko pytanie czy każdy dystrybutor ma stały adres IP, albo nie będzie chciał się łączyć z różnych komputerów.


RE: Włamy w firmie przez pulpity zdalne - kr2y510 - 06.11.2017 0:05

No widać że rozwiązanie bezpieczne to nie jest. Do tego ta mania wirtualnych pulpitów...
Jednak samo to, to nie powód by zrywać umowę z jakimkolwiek dostawcą usług.

IMO żaden Sophos nic nie da. Potrzebny jest firewall lub tunelowany ruch do serwera. Czyli łączyć się z serwerem mogą jednie ci co muszą. O ile ich kompy nie zostaną zhakowane, to będzie to w miarę bezpieczne.

Cytat:Tylko pytanie czy każdy dystrybutor ma stały adres IP, albo nie będzie chciał się łączyć z różnych komputerów.
Rozwiązań na brak stałego IP jest sporo. Można np. wymusić ruch po IPv6. Można tunelować ruch w jakimś reverse/forward proxy...


RE: Włamy w firmie przez pulpity zdalne - r2844626 - 10.11.2017 22:49

Witam,

mam podobny problem w firmie i też padłem ofiarą włamania na zdalny pulpit ale tu był mój błąd słabe hasło a raczej kwestią czasu było włamanie ... kosztowało mnie to sporo steru i kasy ;/ ale co cię nie zabije to cię wzmocni.

Musze mieć udostępniony pewien program dla klientów który jest uruchomiony na zdalnym pulpicie, opcja z RDP jest najszybszym =! nie najlepszym rozwiązaniem.
RDP jak wiadomo przesyła ruch nie szyfrowany i bardzo łatwo go podsłuchać, jak rozwiązałem sprawę, otóż mam uruchomiony serwer / router na którym mam postawiony serwer OpenVPN, wygenerowane odpowiednie klucze prywatne + loginy i hasła dla użytkowników. Adres IP mam stały ( chociaż z tego co pamiętam na zmiennym też dasz radę to ustawić ale tam trzeba wesprzeć się NO-IP czy coś w ten deseń ) więc konfiguracja banalna. Otwarte na świat mam tylko port z OpenVPNa i święty spokój. Mam klientów którzy łączą się ze mną z całego świata i nie ma innej opcji aby był RDP otwarty.

To takie moje trzy grosze ...