Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
bloccare IP in accesso RDP
11 views
Skip to first unread message
Ammammata
Aug 4, 2023, 3:03:58 AM8/4/23
to
premessa:
un cliente si lamentava che la connessione da fuori al server Windows
2016 Standard (tramite RDP) andava una volta sì e ventordici no
gli ho fatto controllare il log e son saltate fuori un considerevole
numero di righe Warning:
A connection from the client computer with an IP address of
109.107.166.22 failed because the user name or password is not correct.
questo IP è geolocalizzato in Romania per cui qualcuno ci sta provando;
talvolta finisce con .22, talaltra con .8
Premesso che già in partenza la porta aperta sul router NON era quella
standard 3389 ma una scelta a caso, la prima cosa che gli ho suggerito
è stata di cambiarla ulteriormente (sul router, port forwarding)
tutto ok, fine dei tentativi di accesso e le connessioni lecite son
tornate a funzionare a meraviglia, ma penso sia questione di tempo e
prima o poi torneranno all'attacco sulla nuova porta
ora vengo al punto: le guide di Windows suggeriscono una policy che
blocca l'utente RDP dopo un certo numero di accessi falliti, io vorrei
invece sapere (dato che non ho trovato nulla a riguardo) se c'è anche
modo di bloccare l'IP chiamante, mettendolo in una blacklist
(eventualmente modificabile in caso di reali tentativi di un utente
autorizzato ma molto distratto) ;o)
l'alternativa che suggerirò è quella di mettere in mezzo una VPN,
magari con un sistema di autenticazione a due fattori o la generazione
di token “usa e getta”, ma ci vorrà del tempo, qui son tutti chiusi
ormai, se ne riparla a settembre
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
un cliente si lamentava che la connessione da fuori al server Windows
2016 Standard (tramite RDP) andava una volta sì e ventordici no
gli ho fatto controllare il log e son saltate fuori un considerevole
numero di righe Warning:
A connection from the client computer with an IP address of
109.107.166.22 failed because the user name or password is not correct.
questo IP è geolocalizzato in Romania per cui qualcuno ci sta provando;
talvolta finisce con .22, talaltra con .8
Premesso che già in partenza la porta aperta sul router NON era quella
standard 3389 ma una scelta a caso, la prima cosa che gli ho suggerito
è stata di cambiarla ulteriormente (sul router, port forwarding)
tutto ok, fine dei tentativi di accesso e le connessioni lecite son
tornate a funzionare a meraviglia, ma penso sia questione di tempo e
prima o poi torneranno all'attacco sulla nuova porta
ora vengo al punto: le guide di Windows suggeriscono una policy che
blocca l'utente RDP dopo un certo numero di accessi falliti, io vorrei
invece sapere (dato che non ho trovato nulla a riguardo) se c'è anche
modo di bloccare l'IP chiamante, mettendolo in una blacklist
(eventualmente modificabile in caso di reali tentativi di un utente
autorizzato ma molto distratto) ;o)
l'alternativa che suggerirò è quella di mettere in mezzo una VPN,
magari con un sistema di autenticazione a due fattori o la generazione
di token “usa e getta”, ma ci vorrà del tempo, qui son tutti chiusi
ormai, se ne riparla a settembre
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
sm
Aug 4, 2023, 3:42:44 AM8/4/23
to
Il Fri, 04 Aug 2023 09:03:55 +0200, Ammammata ha scritto:
> ora vengo al punto: le guide di Windows suggeriscono una policy che
> blocca l'utente RDP dopo un certo numero di accessi falliti, io vorrei
> invece sapere (dato che non ho trovato nulla a riguardo) se c'è anche
> modo di bloccare l'IP chiamante, mettendolo in una blacklist
> (eventualmente modificabile in caso di reali tentativi di un utente
> autorizzato ma molto distratto) ;o)
Su linux esiste fail2ban che fa esattamente questo mestiere. Su Windows
> ora vengo al punto: le guide di Windows suggeriscono una policy che
> blocca l'utente RDP dopo un certo numero di accessi falliti, io vorrei
> invece sapere (dato che non ho trovato nulla a riguardo) se c'è anche
> modo di bloccare l'IP chiamante, mettendolo in una blacklist
> (eventualmente modificabile in caso di reali tentativi di un utente
> autorizzato ma molto distratto) ;o)
non lo so.
> l'alternativa che suggerirò è quella di mettere in mezzo una VPN, magari
> con un sistema di autenticazione a due fattori o la generazione di token
> “usa e getta”, ma ci vorrà del tempo, qui son tutti chiusi ormai, se ne
> riparla a settembre
ObiWan
Aug 4, 2023, 4:44:44 AM8/4/23
to
:: On Fri, 04 Aug 2023 09:03:55 +0200
:: (it.comp.sicurezza.varie)
:: <uai7ss$3aqr$1...@solani.org>
vittime) a fare scansioni su internet e fingerprint dei servizi ce ne
sono a mucchi, per cui cambiare porta aiuta solo in parte, l'ideale
sarebbe configurare una VPN e rendere RDP accessibile da WAN soltanto
tramite la VPN (possibilmente configurata con autenticazione tramite
certificati)
> ora vengo al punto: le guide di Windows suggeriscono una policy che
> blocca l'utente RDP dopo un certo numero di accessi falliti, io
> vorrei invece sapere (dato che non ho trovato nulla a riguardo) se
> c'è anche modo di bloccare l'IP chiamante, mettendolo in una
> blacklist (eventualmente modificabile in caso di reali tentativi di
> un utente autorizzato ma molto distratto) ;o)
Si può fare, ma non so se sia consigliabile, in breve si tratta di
creare nel task scheduler di windows un nuovo job schedulato, come
condizioni di avvio selezioni "al verificarsi di un evento" e poi
imposti l'evento corrispondente al mancato logon RDP, fatto questo
imposti il comando da lanciare ad uno script, quest'ultimo andrà a
ripescare l'IP (o gli IP) e poi usando un comando "netsh" creerà una
regola di blocco nel firewall (oppure aggiungerà l'IP ad una regola di
blocco esistente); il punto è... ne vale la pena ? Considera che tali
tentativi arrivano da bot automatici che hanno una lista di IP/porte
ottenuta da altri bot che hanno effettuato scansioni, ora, tu puoi
bloccare l'IP di un bot, ma a breve, ti arriveranno tentativi da un
altro bot... e così via, quindi a meno di non filtrare per blocchi di
IP, direi che l'idea sia da scartare
Ripeto, considera la VPN, una OpenVPN si tira su in breve, ma se non si
vuole installare nulla, si può anche usare il supporto VPN nativo di
windows ed installare una banale PPTP
:: (it.comp.sicurezza.varie)
:: <uai7ss$3aqr$1...@solani.org>
:: Ammammata <amma...@tiscali.it> wrote:
> Premesso che già in partenza la porta aperta sul router NON era
> quella standard 3389 ma una scelta a caso, la prima cosa che gli ho
> suggerito è stata di cambiarla ulteriormente (sul router, port
> forwarding)
>
> tutto ok, fine dei tentativi di accesso e le connessioni lecite son
> tornate a funzionare a meraviglia, ma penso sia questione di tempo e
> prima o poi torneranno all'attacco sulla nuova porta
Si, è solo questione di tempo, di botnet che passano il tempo (delle
> Premesso che già in partenza la porta aperta sul router NON era
> quella standard 3389 ma una scelta a caso, la prima cosa che gli ho
> suggerito è stata di cambiarla ulteriormente (sul router, port
> forwarding)
>
> tutto ok, fine dei tentativi di accesso e le connessioni lecite son
> tornate a funzionare a meraviglia, ma penso sia questione di tempo e
> prima o poi torneranno all'attacco sulla nuova porta
vittime) a fare scansioni su internet e fingerprint dei servizi ce ne
sono a mucchi, per cui cambiare porta aiuta solo in parte, l'ideale
sarebbe configurare una VPN e rendere RDP accessibile da WAN soltanto
tramite la VPN (possibilmente configurata con autenticazione tramite
certificati)
> ora vengo al punto: le guide di Windows suggeriscono una policy che
> blocca l'utente RDP dopo un certo numero di accessi falliti, io
> vorrei invece sapere (dato che non ho trovato nulla a riguardo) se
> c'è anche modo di bloccare l'IP chiamante, mettendolo in una
> blacklist (eventualmente modificabile in caso di reali tentativi di
> un utente autorizzato ma molto distratto) ;o)
creare nel task scheduler di windows un nuovo job schedulato, come
condizioni di avvio selezioni "al verificarsi di un evento" e poi
imposti l'evento corrispondente al mancato logon RDP, fatto questo
imposti il comando da lanciare ad uno script, quest'ultimo andrà a
ripescare l'IP (o gli IP) e poi usando un comando "netsh" creerà una
regola di blocco nel firewall (oppure aggiungerà l'IP ad una regola di
blocco esistente); il punto è... ne vale la pena ? Considera che tali
tentativi arrivano da bot automatici che hanno una lista di IP/porte
ottenuta da altri bot che hanno effettuato scansioni, ora, tu puoi
bloccare l'IP di un bot, ma a breve, ti arriveranno tentativi da un
altro bot... e così via, quindi a meno di non filtrare per blocchi di
IP, direi che l'idea sia da scartare
Ripeto, considera la VPN, una OpenVPN si tira su in breve, ma se non si
vuole installare nulla, si può anche usare il supporto VPN nativo di
windows ed installare una banale PPTP
^Bart
Aug 4, 2023, 6:05:56 AM8/4/23
to
> Su linux esiste fail2ban che fa esattamente questo mestiere. Su Windows
> non lo so.
Quoto!
> non lo so.
> Ma riparlane, perché RDP esposto su internet è la morte.
che fosse vera!
Saluti.
^Bart
^Bart
Aug 4, 2023, 6:09:13 AM8/4/23
to
> Ripeto, considera la VPN, una OpenVPN si tira su in breve, ma se non si
> vuole installare nulla, si può anche usare il supporto VPN nativo di
> windows ed installare una banale PPTP
A mio avviso farei fare da VPN ad una macchina dedicata nello specifico
> vuole installare nulla, si può anche usare il supporto VPN nativo di
> windows ed installare una banale PPTP
una macchina con una qualsiasi distribuzione linux (meglio se Debian) su
cui installare OpenVPN.
In rete ci sono migliaia di guide che nel giro di un paio d'ore di
permettono di eseguire il tutto e risolvere appunto in un paio d'ore
tutti i problemi segnalati, se poi ci si aggiunge anche fail2ban pure
meglio! :)
Saluti.
^Bart
Ammammata
Aug 4, 2023, 6:43:48 AM8/4/23
to
Ammammata has brought this to us :
eventi, contenete i record dove è segnalato l'errore (ID 140)
in aggiunta alla descrizione riportata in General (A connection from
Details, ma tra di essi non vedo il nome utente usato per tentare di
log-garsi
posso supporre che usino admin o administrator, o user o altri
probabili, ma comunque sia non lo vedo e non vorrei che poi mi
bloccasse proprio administrator...
c'è un Security UserID="S-1-5-20" ma non mi dice nulla (vedi
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-identifiers)
se anche lo bloccasse solo come RDP poi avrebbe qualche problema a
collegarsi quando vuole creare un nuovo utente o disattivarne un altro,
procedure standard che esegue senza supervisione, il server è nel rack,
senza monitor e tastiera, anche se sono a disposizione nell'armadietto
a fianco
qui sotto sia la versione XML che quella 'Friendly'
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS"
Guid="{1139c61b-b549-4251-8ed3-27250a1edec8}" />
<EventID>140</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>4</Task>
<Opcode>14</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2023-08-03T15:32:36.1557752Z" />
<EventRecordID>252649937</EventRecordID>
<Correlation ActivityID="{f420c9e7-4990-4dc3-81cf-cb7f21760000}" />
<Execution ProcessID="884" ThreadID="3380" />
<Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel>
<Computer>server</Computer>
<Security UserID="S-1-5-20" />
</System>
- <EventData>
<Data Name="IPString">109.107.166.22</Data>
</EventData>
</Event>
- System
- Provider
[ Name] Microsoft-Windows-RemoteDesktopServices-RdpCoreTS
[ Guid] {1139c61b-b549-4251-8ed3-27250a1edec8}
EventID 140
Version 0
Level 3
Task 4
Opcode 14
Keywords 0x4000000000000000
- TimeCreated
[ SystemTime] 2023-08-03T15:32:36.1557752Z
EventRecordID 252649937
- Correlation
[ ActivityID] {f420c9e7-4990-4dc3-81cf-cb7f21760000}
- Execution
[ ProcessID] 884
[ ThreadID] 3380
Channel
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
Computer server
- Security
[ UserID] S-1-5-20
- EventData
IPString 109.107.166.22
> ora vengo al punto: le guide di Windows suggeriscono una policy che blocca
> l'utente RDP dopo un certo numero di accessi falliti
ripartiamo da qui: mi son fatto mandare un estratto dal registro
> l'utente RDP dopo un certo numero di accessi falliti
eventi, contenete i record dove è segnalato l'errore (ID 140)
in aggiunta alla descrizione riportata in General (A connection from
the client computer with an IP address of 109.107.166.22 failed because
the user name or password is not correct.) ci sono altri dati in
Details, ma tra di essi non vedo il nome utente usato per tentare di
log-garsi
posso supporre che usino admin o administrator, o user o altri
probabili, ma comunque sia non lo vedo e non vorrei che poi mi
bloccasse proprio administrator...
c'è un Security UserID="S-1-5-20" ma non mi dice nulla (vedi
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-identifiers)
se anche lo bloccasse solo come RDP poi avrebbe qualche problema a
collegarsi quando vuole creare un nuovo utente o disattivarne un altro,
procedure standard che esegue senza supervisione, il server è nel rack,
senza monitor e tastiera, anche se sono a disposizione nell'armadietto
a fianco
qui sotto sia la versione XML che quella 'Friendly'
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS"
Guid="{1139c61b-b549-4251-8ed3-27250a1edec8}" />
<EventID>140</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>4</Task>
<Opcode>14</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2023-08-03T15:32:36.1557752Z" />
<EventRecordID>252649937</EventRecordID>
<Correlation ActivityID="{f420c9e7-4990-4dc3-81cf-cb7f21760000}" />
<Execution ProcessID="884" ThreadID="3380" />
<Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel>
<Computer>server</Computer>
<Security UserID="S-1-5-20" />
</System>
- <EventData>
<Data Name="IPString">109.107.166.22</Data>
</EventData>
</Event>
- System
- Provider
[ Name] Microsoft-Windows-RemoteDesktopServices-RdpCoreTS
[ Guid] {1139c61b-b549-4251-8ed3-27250a1edec8}
EventID 140
Version 0
Level 3
Task 4
Opcode 14
Keywords 0x4000000000000000
- TimeCreated
[ SystemTime] 2023-08-03T15:32:36.1557752Z
EventRecordID 252649937
- Correlation
[ ActivityID] {f420c9e7-4990-4dc3-81cf-cb7f21760000}
- Execution
[ ProcessID] 884
[ ThreadID] 3380
Channel
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
Computer server
- Security
[ UserID] S-1-5-20
- EventData
IPString 109.107.166.22
ObiWan
Aug 4, 2023, 8:52:36 AM8/4/23
to
:: On Fri, 4 Aug 2023 12:06:41 +0200
:: (it.comp.sicurezza.varie)
:: <uaiii1$17sjb$1...@dont-email.me>
:: (it.comp.sicurezza.varie)
:: <uaiii1$17sjb$1...@dont-email.me>
:: ^Bart <gabriel...@hotmail.com> wrote:
> > Ma riparlane, perché RDP esposto su internet è la morte.
> Effettivamente ho dovuto rileggere la frase due volte per rendermi
> conto che fosse vera!
cerca "TSgrinder" e considera che quello è già "datato", vedi tu...
> > Ma riparlane, perché RDP esposto su internet è la morte.
> Effettivamente ho dovuto rileggere la frase due volte per rendermi
> conto che fosse vera!
ObiWan
Aug 4, 2023, 8:54:20 AM8/4/23
to
:: On Fri, 4 Aug 2023 12:09:59 +0200
:: (it.comp.sicurezza.varie)
:: <uaiio7$17sjb$2...@dont-email.me>
supporti OpenVPN fino ad un Windows, passando per BSD e per millemila
altre piattaforme :) oppure se ha solo Windows, può usare RRAS e tirar
su una VPN direttamente in windows
:: (it.comp.sicurezza.varie)
:: <uaiio7$17sjb$2...@dont-email.me>
:: ^Bart <gabriel...@hotmail.com> wrote:
> A mio avviso farei fare da VPN ad una macchina dedicata nello
> specifico una macchina con una qualsiasi distribuzione linux (meglio
> se Debian) su cui installare OpenVPN.
Aridaje con Debian, lo può fare con qualsiasi cosa, da un router che
> A mio avviso farei fare da VPN ad una macchina dedicata nello
> specifico una macchina con una qualsiasi distribuzione linux (meglio
> se Debian) su cui installare OpenVPN.
supporti OpenVPN fino ad un Windows, passando per BSD e per millemila
altre piattaforme :) oppure se ha solo Windows, può usare RRAS e tirar
su una VPN direttamente in windows
ObiWan
Aug 4, 2023, 9:00:09 AM8/4/23
to
:: On Fri, 04 Aug 2023 12:43:44 +0200
:: (it.comp.sicurezza.varie)
:: <uaikp1$3hs4$1...@solani.org>
della fiera, dell'utente ti interessa sino ad un certo punto, e come ho
scritto, bloccare non credo sia una soluzione, anzi potrebbe complicare
le cose, meglio implementare una VPN
:: (it.comp.sicurezza.varie)
:: <uaikp1$3hs4$1...@solani.org>
:: Ammammata <amma...@tiscali.it> wrote:
> in aggiunta alla descrizione riportata in General (A connection from
> the client computer with an IP address of 109.107.166.22 failed
> because the user name or password is not correct.) ci sono altri dati
> in Details, ma tra di essi non vedo il nome utente usato per tentare
> di log-garsi
Dovresti trovarlo in un altro evento, se ricordo bene, ma alla fine
> in aggiunta alla descrizione riportata in General (A connection from
> the client computer with an IP address of 109.107.166.22 failed
> because the user name or password is not correct.) ci sono altri dati
> in Details, ma tra di essi non vedo il nome utente usato per tentare
> di log-garsi
della fiera, dell'utente ti interessa sino ad un certo punto, e come ho
scritto, bloccare non credo sia una soluzione, anzi potrebbe complicare
le cose, meglio implementare una VPN
sm
Aug 4, 2023, 2:37:12 PM8/4/23
to
Il Fri, 4 Aug 2023 12:09:59 +0200, ^Bart ha scritto:
>> Ripeto, considera la VPN, una OpenVPN si tira su in breve, ma se non si
>> vuole installare nulla, si può anche usare il supporto VPN nativo di
>> windows ed installare una banale PPTP
>
> A mio avviso farei fare da VPN ad una macchina dedicata nello specifico
> una macchina con una qualsiasi distribuzione linux (meglio se Debian) su
> cui installare OpenVPN.
Io intanto guarderei cosa offre il router che 90 su 100 risolve lì. Poi
>> Ripeto, considera la VPN, una OpenVPN si tira su in breve, ma se non si
>> vuole installare nulla, si può anche usare il supporto VPN nativo di
>> windows ed installare una banale PPTP
>
> A mio avviso farei fare da VPN ad una macchina dedicata nello specifico
> una macchina con una qualsiasi distribuzione linux (meglio se Debian) su
> cui installare OpenVPN.
prima di tirar su una macchina dedicata per un servizio ci penserei non
una ma cento volte, soprattutto perché OpenVPN c'è anche per Windows.
> In rete ci sono migliaia di guide che nel giro di un paio d'ore di
> permettono di eseguire il tutto e risolvere appunto in un paio d'ore
> tutti i problemi segnalati, se poi ci si aggiunge anche fail2ban pure
> meglio! :)
^Bart
Aug 7, 2023, 3:31:02 AM8/7/23
to
> Io intanto guarderei cosa offre il router che 90 su 100 risolve lì. Poi
> prima di tirar su una macchina dedicata per un servizio ci penserei non
Se ti trovi in una realtà soho è corretto quello che dici ovvero di
> prima di tirar su una macchina dedicata per un servizio ci penserei non
guardare cosa offre l'hardware che hai già ma in realtà tipo multi
stabilimento o dove è necessario avere un livello di sicurezza adeguato
io preferisco ritagliarmi 30GB di disco (a star molto molto larghi!) e
4GB di ram per crearmi un server VPN ad hoc su un sistema Unix like che
può essere Debian ma anche FreeBSD in modo da gestire in maniera comoda
anche gli aggiornamenti di versione o giocarsela in maniera più agile
con nftables o iptables (...).
Lato router è molto più difficile aggiornare il singolo pacchetto ovvero
in questo caso il software VPN quando questo dovesse diventare obsoleto
o deprecato poi ribadisco ancora dipende sempre dalla realtà in cui ti
trovi.
> una ma cento volte, soprattutto perché OpenVPN c'è anche per Windows.
ovvero quello dei s.o. Microsoft però indubbiamente certi servizi,
almeno io, li trovo più gestibili ed oggettivamente più sicuri se
erogati da un s.o. Unix like.
> fail2ban quando hai la vpn a che ti serve?
utente e password della VPN.
Saluti.
^Bart
^Bart
Aug 7, 2023, 3:56:00 AM8/7/23
to
> cerca "TSgrinder" e considera che quello è già "datato", vedi tu...
Non capisco perché Windows, pur scopiazzando da tempo dai sistemi unix
like, non riesca finalmente a creare qualcosa tipo ssh ovvero un sistema
che ti permetta di loggarti non come root\administrator ma come utente
normale per poi fare escalation...
Forse agendo su qualche policy o chiave di registro si potrà disattivare
l'accesso di default di Administrator... ad onor del vero non ho mai
approfondito l'argomento.
Saluti.
^Bart
sm
Aug 7, 2023, 5:05:00 AM8/7/23
to
Il Mon, 7 Aug 2023 09:31:43 +0200, ^Bart ha scritto:
>> Io intanto guarderei cosa offre il router che 90 su 100 risolve lì. Poi
>> prima di tirar su una macchina dedicata per un servizio ci penserei non
>
> Se ti trovi in una realtà soho è corretto quello che dici ovvero di
> guardare cosa offre l'hardware che hai già ma in realtà tipo multi
> stabilimento o dove è necessario avere un livello di sicurezza adeguato
> io preferisco ritagliarmi 30GB di disco (a star molto molto larghi!) e
> 4GB di ram per crearmi un server VPN ad hoc su un sistema Unix like che
> può essere Debian ma anche FreeBSD in modo da gestire in maniera comoda
> anche gli aggiornamenti di versione o giocarsela in maniera più agile
> con nftables o iptables (...).
Ma se leggi il messaggio l'esigenza non è mettere su una VPN site-to-site.
>> Io intanto guarderei cosa offre il router che 90 su 100 risolve lì. Poi
>> prima di tirar su una macchina dedicata per un servizio ci penserei non
>
> Se ti trovi in una realtà soho è corretto quello che dici ovvero di
> guardare cosa offre l'hardware che hai già ma in realtà tipo multi
> stabilimento o dove è necessario avere un livello di sicurezza adeguato
> io preferisco ritagliarmi 30GB di disco (a star molto molto larghi!) e
> 4GB di ram per crearmi un server VPN ad hoc su un sistema Unix like che
> può essere Debian ma anche FreeBSD in modo da gestire in maniera comoda
> anche gli aggiornamenti di versione o giocarsela in maniera più agile
> con nftables o iptables (...).
Inoltre anche in quel caso permettimi di dubitare che una OpenVPN
configurata da te offra un livello di sicurezza più alto di un, ad
esempio, Cisco ASA.
> Lato router è molto più difficile aggiornare il singolo pacchetto ovvero
> in questo caso il software VPN quando questo dovesse diventare obsoleto
> o deprecato poi ribadisco ancora dipende sempre dalla realtà in cui ti
> trovi.
SOHO la necessità, in ambito enterprise si suppone tu abbia dei router/
firewall di classe adeguata e non dei modelli consumer.
>> una ma cento volte, soprattutto perché OpenVPN c'è anche per Windows.
>
> Non posso sputare nel piatto in cui ho anch'io mangiato per diversi anni
> ovvero quello dei s.o. Microsoft però indubbiamente certi servizi,
> almeno io, li trovo più gestibili ed oggettivamente più sicuri se
> erogati da un s.o. Unix like.
domanda diversa che ti fa più comodo.
Lui vuole accedere ad un servizio di una macchina, non ad una rete. Far
entrare l'utente nella rete non è quello che vuole, anzi molto
probabilmente lo vuole proprio evitare. Se fai una macchina OpenVPN
dedicata poi devi ridondare le regole di firewalling per permettere a
quell'utente di andare lì e soltanto lì, mentre se implementi la VPN
direttamente sulla macchina puoi semplicemente segregarlo su quella
macchina.
>> fail2ban quando hai la vpn a che ti serve?
>
> Per bloccare l'ip remoto nel momento in cui per "X" volte sbagli nome
> utente e password della VPN.
Anche se hai una autenticazione username/pwd non ci arrivi se prima non è
avvenuto l'handshake.
ObiWan
Aug 7, 2023, 5:22:52 AM8/7/23
to
:: On Mon, 7 Aug 2023 09:31:43 +0200
:: (it.comp.sicurezza.varie)
:: <uaq6jk$2p3b2$1...@dont-email.me>
tramite certificati, è molto più comoda, anche perchè se non si ha un
certificato inserito nel keyring, non ci si connette proprio, in più
revocare un certificato è immediato e semplice; ogni client VPN ha il
suo bravo certificato e se per caso rubano un portatile basta soltanto
revocare il certificato associato e via
:: (it.comp.sicurezza.varie)
:: <uaq6jk$2p3b2$1...@dont-email.me>
:: ^Bart <gabriel...@hotmail.com> wrote:
> > fail2ban quando hai la vpn a che ti serve?
> Per bloccare l'ip remoto nel momento in cui per "X" volte sbagli nome
> utente e password della VPN.
Utente e password ? Non so te, ma io di solito uso l'autenticazione
> > fail2ban quando hai la vpn a che ti serve?
> Per bloccare l'ip remoto nel momento in cui per "X" volte sbagli nome
> utente e password della VPN.
tramite certificati, è molto più comoda, anche perchè se non si ha un
certificato inserito nel keyring, non ci si connette proprio, in più
revocare un certificato è immediato e semplice; ogni client VPN ha il
suo bravo certificato e se per caso rubano un portatile basta soltanto
revocare il certificato associato e via
ObiWan
Aug 7, 2023, 5:26:11 AM8/7/23
to
:: On Mon, 7 Aug 2023 09:04:57 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <pan$c2df0$c7ebc567$cba519a0$4058...@carotone.net>
tre fattori, in pratica alla richiesta di connessione, arriva un
messaggio sul cellulare che contiene una ID "usa e getta" da usare per
completare l'autenticazione e la connessione, in quel modo per accedere
alla VPN ti servirà rubare anche il telefono :D
:: (it.comp.sicurezza.varie)
:: <pan$c2df0$c7ebc567$cba519a0$4058...@carotone.net>
:: sm <caro...@test.net> wrote:
> >> fail2ban quando hai la vpn a che ti serve?
> > Per bloccare l'ip remoto nel momento in cui per "X" volte sbagli
> > nome utente e password della VPN.
> Ma che dici, le VPN si basano su un mutuo scambio di
> chiavi/certificati. Anche se hai una autenticazione username/pwd non
> ci arrivi se prima non è avvenuto l'handshake.
E se poi vuoi blindare meglio il tutto, metti in piedi autenticazione a
> >> fail2ban quando hai la vpn a che ti serve?
> > Per bloccare l'ip remoto nel momento in cui per "X" volte sbagli
> > nome utente e password della VPN.
> Ma che dici, le VPN si basano su un mutuo scambio di
> chiavi/certificati. Anche se hai una autenticazione username/pwd non
> ci arrivi se prima non è avvenuto l'handshake.
tre fattori, in pratica alla richiesta di connessione, arriva un
messaggio sul cellulare che contiene una ID "usa e getta" da usare per
completare l'autenticazione e la connessione, in quel modo per accedere
alla VPN ti servirà rubare anche il telefono :D
ObiWan
Aug 7, 2023, 6:37:41 AM8/7/23
to
:: On Mon, 7 Aug 2023 11:26:09 +0200
:: (it.comp.sicurezza.varie)
:: <20230807112...@mvps.org>
dato numero, devi conoscere utente e password e devi anche confermare
il tutto usando il codice effimero, sembra complicato ma non lo è
:: (it.comp.sicurezza.varie)
:: <20230807112...@mvps.org>
:: ObiWan <obi...@mvps.org> wrote:
> E se poi vuoi blindare meglio il tutto, metti in piedi autenticazione
> a tre fattori
in pratica, devi avere il certificato e devi avere il telefono con quel
> E se poi vuoi blindare meglio il tutto, metti in piedi autenticazione
> a tre fattori
dato numero, devi conoscere utente e password e devi anche confermare
il tutto usando il codice effimero, sembra complicato ma non lo è
sm
Aug 7, 2023, 7:31:40 AM8/7/23
to
certificati, quindi un eventuale brute force può passare solo di li. E
forzare una chiave RSA 4096 bit è una impresa che non richiede di
preoccuparsi se uno prova più di 5 o 6 volte consecutive :-D
ObiWan
Aug 7, 2023, 8:49:52 AM8/7/23
to
:: On Mon, 7 Aug 2023 11:31:38 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <pan$23f22$1cce3c57$91cd9450$604f...@carotone.net>
> quindi un eventuale brute force può passare solo di li. E forzare una
> chiave RSA 4096 bit è una impresa che non richiede di preoccuparsi se
> uno prova più di 5 o 6 volte consecutive :-D
corretto, anche se fail2ban potrebbe venire utilizzato ugualmente, in
tal caso dovrebbe andare a monitorare il log per le voci che riportano
"invalid certificate" o simile e poi agire sugli IP relativi alle
stesse, ma sarebbe comunque eccessivo, dato che come hai giustamente
scritto, la vedo dura generare un certificato valido senza avere il
certificato della CA :)
:: (it.comp.sicurezza.varie)
:: <pan$23f22$1cce3c57$91cd9450$604f...@carotone.net>
:: sm <caro...@test.net> wrote:
> Si ma per tornare al discorso suo su fail2ban il primo step è
> negoziare i certificati,
Esatto
> Si ma per tornare al discorso suo su fail2ban il primo step è
> negoziare i certificati,
> quindi un eventuale brute force può passare solo di li. E forzare una
> chiave RSA 4096 bit è una impresa che non richiede di preoccuparsi se
> uno prova più di 5 o 6 volte consecutive :-D
tal caso dovrebbe andare a monitorare il log per le voci che riportano
"invalid certificate" o simile e poi agire sugli IP relativi alle
stesse, ma sarebbe comunque eccessivo, dato che come hai giustamente
scritto, la vedo dura generare un certificato valido senza avere il
certificato della CA :)
ObiWan
Aug 7, 2023, 9:02:45 AM8/7/23
to
:: On Fri, 04 Aug 2023 09:03:55 +0200
:: (it.comp.sicurezza.varie)
:: <uai7ss$3aqr$1...@solani.org>
:: Ammammata <amma...@tiscali.it> wrote:
:: (it.comp.sicurezza.varie)
:: <uai7ss$3aqr$1...@solani.org>
:: Ammammata <amma...@tiscali.it> wrote:
> premessa:
> un cliente si lamentava che la connessione da fuori al server Windows
> 2016 Standard (tramite RDP) andava una volta sì e ventordici no
>
> gli ho fatto controllare il log e son saltate fuori un considerevole
> numero di righe Warning:
Un altro sistema per evitare questi problemi è quello di usare IPsec,
> un cliente si lamentava che la connessione da fuori al server Windows
> 2016 Standard (tramite RDP) andava una volta sì e ventordici no
>
> gli ho fatto controllare il log e son saltate fuori un considerevole
> numero di righe Warning:
che è nativo da Windows NT, per le connessioni RDP, nelle versioni più
recenti di Windows la configurazione del tutto è stata semplificata
parecchio, basta vedere qui
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/securing-rdp-with-ipsec/ba-p/259108
e, considerando che IPSec viene considerato abbastanza sicuro da essere
usato anche dai "mil" direi che ci si possa fidare abbastanza, poi ok,
ci possono essere dei problemi a livello tecnico ed infrastutturare, ma
resta comunque un approccio da tenere presente, anche perchè evita di
dover usare una "VPN completa" solo per la connessione RDP ed allo
stesso tempo permette di usare le GPO e gli strumenti di gestione di AD
per gestire e configurare il tutto
giusto un'altra idea da valutare :)
ciao
Ammammata
Aug 7, 2023, 9:22:39 AM8/7/23
to
Allen wrote on 04/08/2023 :
> Ah già dimentico sempre che sono nel suo killfile e anche se mi leggesse si
> farebbe tagliare gli zebedei pur di seguire un mio consiglio. e vabbè...
carissimo!
sappi che sei nel killfile dell'altro newsreader, qui invece ti leggo
ancora.
aggiungerei che a parte qualche diversità di vedute, ogni tanto accolgo
con malcelata gioia le tue annotazioni
buone vacanze, se le devi ancora fare ;o)
> Ah già dimentico sempre che sono nel suo killfile e anche se mi leggesse si
> farebbe tagliare gli zebedei pur di seguire un mio consiglio. e vabbè...
carissimo!
sappi che sei nel killfile dell'altro newsreader, qui invece ti leggo
ancora.
aggiungerei che a parte qualche diversità di vedute, ogni tanto accolgo
con malcelata gioia le tue annotazioni
buone vacanze, se le devi ancora fare ;o)
ObiWan
Aug 7, 2023, 9:33:19 AM8/7/23
to
:: On Mon, 7 Aug 2023 15:02:42 +0200
:: (it.comp.sicurezza.varie)
:: <20230807150...@mvps.org>
> infrastutturaLe
<fixed> :) :P
:: (it.comp.sicurezza.varie)
:: <20230807150...@mvps.org>
> infrastutturaLe
<fixed> :) :P
ObiWan
Aug 10, 2023, 10:09:23 AM8/10/23
to
:: On Tue, 8 Aug 2023 15:10:41 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <XnsB05AAE8D8...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> Si, ma tu sei un "mito" e non fai testo. ^_^
Si vabbè, adesso mi manca solo un monumento
così poi mi cagano in testa i piccioni :D !
:: (it.comp.sicurezza.varie)
:: <XnsB05AAE8D8...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> Si, ma tu sei un "mito" e non fai testo. ^_^
Si vabbè, adesso mi manca solo un monumento
così poi mi cagano in testa i piccioni :D !
ObiWan
Aug 11, 2023, 5:47:07 AM8/11/23
to
:: On Thu, 10 Aug 2023 15:11:44 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <XnsB05CAEBD6...@not.for.you>
> di un monumento. ^_^.
Preferisco evitare :)
:: (it.comp.sicurezza.varie)
:: <XnsB05CAEBD6...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> > Si vabbè, adesso mi manca solo un monumento
> > così poi mi cagano in testa i piccioni :D !
> E' lo scotto della "notorietà". Nulla vieta di usare una targa invece
> > Si vabbè, adesso mi manca solo un monumento
> > così poi mi cagano in testa i piccioni :D !
> di un monumento. ^_^.
Preferisco evitare :)
0 new messages