settare VPN

[misterx]

ciao,
avrei la necessità di settare una VPN ma ho i seguenti dubbi:
- gli apparati (router/firewall) sono gestiti da una società esterna e se chiedo a questa di settare la VPN poi è a conoscenza della password giusto?
- una volta creata la vpn, al PC che si collega che indirizzo gli viene assegnato e da chi? (DHCP del firewall o DHCP della LAN)?
- se sulla LAN è presente uno scanner di rete, riesce ancora a vedere chi si connette via VPN?

Per il momento i miei dubbi sono questi, grazie 1000

[misterx]

lascio perdere nel senso che, chiudo tutte le porte e mi butto su TeamViewer dato che RDP non è sicuro?

Grazie

[Dane]

Quote:

Originariamente inviato da misterx

ciao,
avrei la necessità di settare una VPN ma ho i seguenti dubbi:
- gli apparati (router/firewall) sono gestiti da una società esterna e se chiedo a questa di settare la VPN poi è a conoscenza della password giusto?

se ti fidi a dargli in mano la gestione della rete, che problema hai se "per forza di cose" arrivano ad avere anche le credenziali per la vpn?

Quote:

- una volta creata la vpn, al PC che si collega che indirizzo gli viene assegnato e da chi? (DHCP del firewall o DHCP della LAN)?

se te lo configura la società esterna digli come lo vuoi e loro te lo devono fare.

Quote:

- se sulla LAN è presente uno scanner di rete, riesce ancora a vedere chi si connette via VPN?

dipende da come è configurato il tutto.
Tipicamente se gli accessi vpn sono routati e c'è un minimo di criterio nella configurazione del firewall sono altrettanto sicuri dell'accesso lan.

Quote:

mi butto su TeamViewer dato che RDP non è sicuro

prima ti fai problemi se la società esterna, di cui presumibilmente conosci di persona i tecnici, hanno l'accesso alle chiavi vpn, e poi vuoi esternalizzare tutto su teamviewer - che ha già avuto i suoi buchi di sicurezza?

rdp se usato da solo non è abbastanza sicuro.
Ma se lo metti dietro ad una vpn o lo incapsuli su https a mutua autenticazione (es: rds gateway, accessnow ed equivalenti) allora è sicura quanto basta.

[misterx]

sinceramente non mi fido per nulla e non conosco quei tecnici ecco perché chiedo.
Se loro implementano la VPN credo che poi possono entrare sulla mia rete giusto?

[Dane]

Quote:

Originariamente inviato da misterx

sinceramente non mi fido per nulla e non conosco quei tecnici ecco perché chiedo.
Se loro implementano la VPN credo che poi possono entrare sulla mia rete giusto?

Come ogni amministratore di rete, possono fare quello che vogliono.
Se non ti fidi di loro e li paghi tu cambiali con altre persone di fiducia.
Se non li paghi tu chiedi a chi li paga come minimo i criteri di scelta, policy di sicurezza/privacy, ecc ecc

Un amministratore di rete deve poter fare di tutto. Altrimenti in caso di problemi non ti può aiutare - e quindi risulterebbe potenzialmente inutile.
Più ha facilità ad avere accesso a qualsiasi cosa, più è autonomo a risolvere problemi. Più deve agire "in ristrettezza" e più rischia di pregiudicare l'efficacia.

Su per giù vale come per il medico di fiducia.

[misterx]

Quote:

Originariamente inviato da Dane

Come ogni amministratore di rete, possono fare quello che vogliono.
Se non ti fidi di loro e li paghi tu cambiali con altre persone di fiducia.
Se non li paghi tu chiedi a chi li paga come minimo i criteri di scelta, policy di sicurezza/privacy, ecc ecc

Un amministratore di rete deve poter fare di tutto. Altrimenti in caso di problemi non ti può aiutare - e quindi risulterebbe potenzialmente inutile.
Più ha facilità ad avere accesso a qualsiasi cosa, più è autonomo a risolvere problemi. Più deve agire "in ristrettezza" e più rischia di pregiudicare l'efficacia.

Su per giù vale come per il medico di fiducia.

no aspetta, scusa, forse non si è capito: loro non sono aministratori di nulla, l'amministratore nella mia azienda sono io, gestisco tutto io e nessun altro (rete interna, server, proxy etc..). L'unica cosa che gestisce questa società è il router ed firewall e tra le altre cose, di quest'ultimo ho anch'io l'accesso.
Non avendo però conoscenze di settaggi di apparati di questo tipo dovrei lasciare fare a loro. Ecco perchè ho tirato in ballo TeamViewer, per evitare di fornire ad esterni un punto di ingresso.

Per ora mi sono arrangiato settando RDP in modo che se arrivi al PC server e sbagli l'autenticazione dopo 1 solo tentativo aspetti diversi minuti ogni volta, un piccolo deterrente ma non credo sia sufficiente, non mi intendo di sicurezza delle reti.

Tra le altre cose, con RDP mi collego solo io a scopo di controllo; fortunatamente nessuno mi ha mai chiesto VPN, questa l'ho pensata io per via della sicurezza in più che fornise (per sentito dire, non so se l'hanno mai bucata). Magari, senza scomodare VPN ci sono altri sistemi che io non conosco, sistemi dove non è necessario far settare da altri alcunchè.

[misterx]

non mi è chiaro cosa cambia tra una connessione RDP ed una VPN visto che una qualche porta sul firewall rimane aperta

Grazie

[Dane]

Quote:

Originariamente inviato da misterx

no aspetta, scusa, forse non si è capito: loro non sono aministratori di nulla, l'amministratore nella mia azienda sono io, gestisco tutto io e nessun altro (rete interna, server, proxy etc..). L'unica cosa che gestisce questa società è il router ed firewall e tra le altre cose, di quest'ultimo ho anch'io l'accesso.
Non avendo però conoscenze di settaggi di apparati di questo tipo dovrei lasciare fare a loro. Ecco perchè ho tirato in ballo TeamViewer, per evitare di fornire ad esterni un punto di ingresso.

Per ora mi sono arrangiato settando RDP in modo che se arrivi al PC server e sbagli l'autenticazione dopo 1 solo tentativo aspetti diversi minuti ogni volta, un piccolo deterrente ma non credo sia sufficiente, non mi intendo di sicurezza delle reti.

Tra le altre cose, con RDP mi collego solo io a scopo di controllo; fortunatamente nessuno mi ha mai chiesto VPN, questa l'ho pensata io per via della sicurezza in più che fornise (per sentito dire, non so se l'hanno mai bucata). Magari, senza scomodare VPN ci sono altri sistemi che io non conosco, sistemi dove non è necessario far settare da altri alcunchè.

Ah, scusami.
Allora avevo capito male.
Se è come dici allora basta che dai un controllo sul firewall se ci sono vpn impostate. Ma a naso direi di no.

Per la soluzione che hai adottato va "sostanzialmente" bene.
Ovvero il modello deterrente è abbastana buono. Però immagino che tu vada a loggare gli accessi sbagliati (ovvero guardi l'evento login rdp fallito) e poi fai un ban temporaneo dell'ip da dove arriva la connessione.
Ok. La cosa non è male. Ma non ti protegge da enumerazzioni più raffinate, dove non ci si autentica.

Quote:

non mi è chiaro cosa cambia tra una connessione RDP ed una VPN visto che una qualche porta sul firewall rimane aperta

rdp come protocollo è molto più debole.

[misterx]

Quote:

Originariamente inviato da Dane

Ah, scusami.
Allora avevo capito male.
Se è come dici allora basta che dai un controllo sul firewall se ci sono vpn impostate. Ma a naso direi di no.

Per la soluzione che hai adottato va "sostanzialmente" bene.
Ovvero il modello deterrente è abbastana buono. Però immagino che tu vada a loggare gli accessi sbagliati (ovvero guardi l'evento login rdp fallito) e poi fai un ban temporaneo dell'ip da dove arriva la connessione.
Ok. La cosa non è male. Ma non ti protegge da enumerazzioni più raffinate, dove non ci si autentica.




rdp come protocollo è molto più debole.

grazie per le informazioni.
Avendo questa società la possibilità di settare router e firewall a loro piacimento, nulla vieterebbe alla medesima di connettersi alla mia lan, è corretto?


Grazie

[Dane]

Quote:

Originariamente inviato da misterx

grazie per le informazioni.
Avendo questa società la possibilità di settare router e firewall a loro piacimento, nulla vieterebbe alla medesima di connettersi alla mia lan, è corretto?


Grazie

Se l'hanno sempre gestito e sono riusciti a fare manutenzione senza richiedere una connessione dall'interno si.
Dal lato pratico nulla glielo vieterebbe. Dal lato legale non è per quello che hanno le credenziali.
Ovvero: gli amministratori hanno tipicamente accesso a tutto. Ma non per questo possono fare i guardoni (si va in penale).

[misterx]

grazie per le ulteriori.
Mi chiedevo però: VPN cripta il traffico (ma ho letto che anche l'RDP recente lo fa) ma in ogni caso, VPN per connettersi usa una porta e poi username + password come RDP. A me sembra di essere allo stesso livello di RDP, se uno continua a provare entra anche in una VPN o sbaglio?
Cosa rende più sicura una VPN rispetto a RDP?

Grazie

[Dane]

Quote:

Originariamente inviato da misterx

grazie per le ulteriori.
Mi chiedevo però: VPN cripta il traffico (ma ho letto che anche l'RDP recente lo fa) ma in ogni caso, VPN per connettersi usa una porta e poi username + password come RDP. A me sembra di essere allo stesso livello di RDP, se uno continua a provare entra anche in una VPN o sbaglio?
Cosa rende più sicura una VPN rispetto a RDP?

Grazie

rdp cripta con algoritmi "deboli".
Se vuoi qualcosa di meglio è il caso di incapsulare su https (con mutua autenticazione client-server).
Con le vpn puoi scegliere tra diverse cifrature, che sono praticamente tutte più robuste. L'autenticazione più essere con chiave condivisa, certificati, password, o quello che vuoi.
Dentro una vpn puoi incapsulare anche altro traffico, "in parallelo" a rdp.

nascono per scopi diversi: vpn per ottenere tunnel sicuri. Rdp per avere operatività in lan.

[misterx]

mi sono convinto per la VPN però vorrei implementarla io direttamente, provo a studiarci sopra sperando di venirne a capo.

Per il momento tengo buono il sistema RDP con blocco del server dopo un solo tentativo ed attesa per diversi minuti. Ho aggiunto uno script che disconnette il server dalla rete ad orari random che conosco solo io, quindi se fai ping su quella macchina/porta nel momento/orario sbagliato non trovi nessuno che ti risponde.

[Dane]

Quote:

Originariamente inviato da misterx

mi sono convinto per la VPN però vorrei implementarla io direttamente, provo a studiarci sopra sperando di venirne a capo.

Per il momento tengo buono il sistema RDP con blocco del server dopo un solo tentativo ed attesa per diversi minuti. Ho aggiunto uno script che disconnette il server dalla rete ad orari random che conosco solo io, quindi se fai ping su quella macchina/porta nel momento/orario sbagliato non trovi nessuno che ti risponde.

fino ad un certo punto chi se ne frega del ping....
Va bene chiudere l'accesso in orari in cuui sicuramente non ti colleghi (2-5 di notte, per esempio). Ma se lo fai troppo restrittivo ti si ritorce contro.
Se mantieni il discorso che l'accesso rdp viene "segato" dopo un tentativo fallito e pubblichi rdp su una porta non standard risolvi il 99,99% delle rogne.

La vpn ti migliorerà principalmente la crittografia, che è un problema solo se sei nelle condizioni che qualcuno tra l'ufficio e te (principalmente qualche hotspot wifi) possa intercettarti.

[misterx]

Quote:

Originariamente inviato da Dane

fino ad un certo punto chi se ne frega del ping....
Va bene chiudere l'accesso in orari in cuui sicuramente non ti colleghi (2-5 di notte, per esempio). Ma se lo fai troppo restrittivo ti si ritorce contro.
Se mantieni il discorso che l'accesso rdp viene "segato" dopo un tentativo fallito e pubblichi rdp su una porta non standard risolvi il 99,99% delle rogne.

La vpn ti migliorerà principalmente la crittografia, che è un problema solo se sei nelle condizioni che qualcuno tra l'ufficio e te (principalmente qualche hotspot wifi) possa intercettarti.

pensa che avevo settato RDP su una porta non standard ma attraverso una semplice scanner online viene scoperta in un attimo.

Comunque devo migliorare la fase di login che è debole, magari esiste anche una sorta di sistema basato su token per autenticarsi con RDP nel senso che ti viene inviata una mail ad un tale indirizzo con una stringa e se la digiti entri.
Ma forse sto esagerando magari già con la porta non standard e il blocco dopo un tentativo è sufficiente.

Grazie 1000

[prandello]

Non sono un esperto, ma... per lo scopo non basta un semplice tunnel via ssh (magari autenticata con certificato, no password)? Cerca "rdp over ssh".

[misterx]

Quote:

Originariamente inviato da prandello

Non sono un esperto, ma... per lo scopo non basta un semplice tunnel via ssh (magari autenticata con certificato, no password)? Cerca "rdp over ssh".

grazie, dopo la tua segnalazione ho trovato questo articolo tradotto in modo strano http://www.bujarra.com/rdp-sobre-ssh...egura/?lang=it

però questa mi sembra nettamente migliore http://www.giacobbe85.altervista.org...te_Desktop.php

[Dane]

Quote:

Originariamente inviato da misterx

pensa che avevo settato RDP su una porta non standard ma attraverso una semplice scanner online viene scoperta in un attimo.

Comunque devo migliorare la fase di login che è debole, magari esiste anche una sorta di sistema basato su token per autenticarsi con RDP nel senso che ti viene inviata una mail ad un tale indirizzo con una stringa e se la digiti entri.
Ma forse sto esagerando magari già con la porta non standard e il blocco dopo un tentativo è sufficiente.

Grazie 1000

da quel che ho visto io i portscan su tutte le porte sono molto rari. Ancora di più se non hai roba tipo server di posta, dns, web esposti su internet.
Ci sono tanti di quei servizi esposti su internet che non ti c@g@no nemmeno di striscio se per trovare la prima porta aperta devono scansionarne 20000. Spero di essermi spiegato.
E se proprio vuoi poi sempre prendere contromisure contro i portscan "caciari" alla script kiddies.

La soluzione del 2fa per rdp non ti aiuterebbe di tanto. Ovvero: ammesso che non ti rubino le credenziali, sei sufficientemente protetto dal bruteforcing se hai il ban dopo 1 o pochi tentativi falliti. Imho la fase di login "pulito" è a posto.
Non rimani protetto da eventuali vulnerabilità del protocollo rdp, che si potrebbero verificare prima della fase di login. Per questo incapsularlo su XXXXs è meglio.

Quote:

Originariamente inviato da prandello

Non sono un esperto, ma... per lo scopo non basta un semplice tunnel via ssh (magari autenticata con certificato, no password)? Cerca "rdp over ssh".

;-)

L'unico "problema" è che incapsuli su tcp piuttosto che IP (ipsec) o udp (openvpn). Nella maggior parte dei casi va bene uguale.

[misterx]

riassumendo: SSH o VPN mi proteggerebbe da un attacco "man in the middle" se ho capito bene in quanto il traffico viene tutto criptato.

Quello che non mi è chiaro è se per un caso scoprono l'autenticazione della VPN e hanno una connessione, cosa possono vedere della mia rete, tutti gli apparati che ne fanno parte?
Lo chiedo in quanto, prima di muovere foglia, voglio capire cosa potrebbe vedere la società che gestisce il nostro router e firewall.

Esempio Dane: se ti dessi le credenziali del mio router e del firewall per settare una VPN, cosa vedresti poi della mia rete?

Grazie 1000

[Dane]

Quote:

Originariamente inviato da misterx

Quello che non mi è chiaro è se per un caso scoprono l'autenticazione della VPN e hanno una connessione, cosa possono vedere della mia rete, tutti gli apparati che ne fanno parte?
Lo chiedo in quanto, prima di muovere foglia, voglio capire cosa potrebbe vedere la società che gestisce il nostro router e firewall.

Esempio Dane: se ti dessi le credenziali del mio router e del firewall per settare una VPN, cosa vedresti poi della mia rete?

Sarebbe un po' meglio che avere un pc collegato in lan.
Rispetto all'avere solo il pc in rete potrei anche sfruttare il fatto che controllo direttamente il router/firewall e potrei farti usare un mio dns, dirottare il tuo traffico altrove per ispezionarlo, farti andare su siti di mio controllo per attaccarti il browser, ecc ecc Volendo farlo potrei farti i soliti attacchi.

Sono praticamente le stesse cose che potrebbe farti chiunque ti offra un hotspot wifi.