---

Jeg har brug for lidt sparring om følgende setup:

Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den vil jeg
godt tillade brugere hjemmefra at logge på (en remote desktop).

Umiddelbart er min tanke, at

1) åbne for port 3389
2) lave en regl på fw der siger at trafik på port 3389 KUN går til Terminal
Serveren
3) lade brugeren logge på (og lade sig validere) med et RSA token (via vores
ACE server).

Hvad siger eksperterne til et sådan setup ?
Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?

Vh - og på forhånd tak
/LH

---

> 1) åbne for port 3389
> 2) lave en regl på fw der siger at trafik på port 3389 KUN går til
Terminal
> Serveren
> 3) lade brugeren logge på (og lade sig validere) med et RSA token (via
vores
> ACE server).

Jeg glemte lige at tilføje, at jeg kun vil tillade 128 bit kryptering mellem
svr og client.

/LH

---

In article <wvj4c.1402$we6.56@news.get2net.dk>, Lars Hulbæk wrote:
> Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?

Ja.

Jeg ser flere problemmer:

1) Nogle finder en sårbarhed til terminalserveren og udnytter dette.
Det er ligegyldigt om du bruger RSA eller ej.

2) En angriber får dine terminal brugere vidersendt til sin
terminalproxy der vidersender trafikken til din terminalserver,
indtil brugeren logger på med RSA, herefter overtager angriberen
sessionen, og sender en fejlbesked til brugeren.

Hvilken mekanismer har terminal klienten til at sikre at den
"snakker" med den rigtige terminal server?

3) En angriber overtager en terminal session, efter brugeren har
logget på.

Hvilken mekanismer har terminal miljøet til at sikre sig imod
overtagelse af en session?


At en terminalserver typisk står på det interne netværk plejer
ikke at hjælpe på problemmerne.


Har i mulighed for at kører trafikken inden i en VPN forbindelse?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

> Har i mulighed for at kører trafikken inden i en VPN forbindelse?

Ja, og det er naturligvis min næste tanke - og grunden til at jeg ikke med
det samme skitserede det som en del af den tænkte løsning var, at jeg så
vidt muligt ville undgå endnu en klient-installation og deraf følgende
"bruger-reaktion". Det kan jeg imidlertid nu se, at de må affinde sig med.
Sikkerheden har for os - trods alt - første prioritet.

Tak for de gode svar !

Vh
Lars Hulbæk

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:slrnc53l7g.9k4.chel@weebo.dmz.spindelnet.dk...
> In article <wvj4c.1402$we6.56@news.get2net.dk>, Lars Hulbæk wrote:
> > Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?
>
> Ja.
>
> Jeg ser flere problemmer:
>
> 1) Nogle finder en sårbarhed til terminalserveren og udnytter dette.
> Det er ligegyldigt om du bruger RSA eller ej.
>
> 2) En angriber får dine terminal brugere vidersendt til sin
> terminalproxy der vidersender trafikken til din terminalserver,
> indtil brugeren logger på med RSA, herefter overtager angriberen
> sessionen, og sender en fejlbesked til brugeren.
>
> Hvilken mekanismer har terminal klienten til at sikre at den
> "snakker" med den rigtige terminal server?
>
> 3) En angriber overtager en terminal session, efter brugeren har
> logget på.
>

Hvor trivielt er det at få adgang til en terminalserver på ovennævnte måder?

Mvh Sophus Vørsing

---

In article <40569d8f$0$10844$edfadb0f@dtext01.news.tele.dk>, Sophus Vørsing wrote:
>> 1) Nogle finder en sårbarhed til terminalserveren og udnytter dette.
>> Det er ligegyldigt om du bruger RSA eller ej.
>>
>> 2) En angriber får dine terminal brugere vidersendt til sin
>> terminalproxy der vidersender trafikken til din terminalserver,
>> indtil brugeren logger på med RSA, herefter overtager angriberen
>> sessionen, og sender en fejlbesked til brugeren.
>>
>> Hvilken mekanismer har terminal klienten til at sikre at den
>> "snakker" med den rigtige terminal server?
>>
>> 3) En angriber overtager en terminal session, efter brugeren har
>> logget på.
>>
>
> Hvor trivielt er det at få adgang til en terminalserver på ovennævnte måder?

1. hvis der eksistere en sårbar (kendt og ukendt for offentligheden) og
denne ikke er rettet rigtigt på serveren; trivielt.

2. Den mener jeg også er trivielt, det kræver at du på en
eller anden måde sidder imellem klienten og serveren, dette
kan opnåes ved at udnytte svagheder i DNS eller IP.

3. Dette regner jeg ikke med er nemt, da sessionen er krypteret,
dog ved jeg ikke hvor god implementationen er...men ville
nok selv vælge ikke at stole på den.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Lars Hulbæk" <*@*.*> skrev i en meddelelse
news:wvj4c.1402$we6.56@news.get2net.dk

> Jeg har brug for lidt sparring om følgende setup:
>
> Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den vil jeg
> godt tillade brugere hjemmefra at logge på (en remote desktop).
>
> Umiddelbart er min tanke, at
>
> 1) åbne for port 3389
> 2) lave en regl på fw der siger at trafik på port 3389 KUN går til
Terminal
> Serveren
> 3) lade brugeren logge på (og lade sig validere) med et RSA token (via
vores
> ACE server).
>
> Hvad siger eksperterne til et sådan setup ?
> Er der nogle sikkerhedsmæssige "faldgrupper" jeg bør være opmærksom på?

Det har tidligere været exploits imod TS så jeg ville umiddelbart anbefale
at pakke det ind i noget vpn , samt at du exponrer muligheden for at folk
kan lave lockouts på andre ved at "gætte" passwords (some de nok aldrig
rammer rigtigt pga rsakeys)

---

"Lars Hulbæk" <*@*.*> skrev i en meddelelse
news:wvj4c.1402$we6.56@news.get2net.dk...
> Jeg har brug for lidt sparring om følgende setup:
>
> Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den vil jeg
> godt tillade brugere hjemmefra at logge på (en remote desktop).
>
> Umiddelbart er min tanke, at
>
> 1) åbne for port 3389

Min første tanke er at flytte portnr. til noget andet en 3389, som jo vil
være den første der vil blive portscannet i tilfælde af at der findes nye
exploits til TS. Den nye port du vælger skal naturligvis mappes til din TS.

http://support.microsoft.com/default.aspx?scid=187623

Jeg ved ikke nok om emnet til at vurdere om det er sikkerhed nok, men
flytningen af porten bruger jeg selv og det fungerer fint. Det kan være lidt
bøvlet at oprette adgang til den, men jeg synes det er en lille pris at
betale for det ekstra besvære en evt. hacker skal igennem.


--
/Steen
Fjern alt til og med sidste underscore i email.

---

In article <c2ugd2$52q$1@sunsite.dk>, Steen Holm Pedersen wrote:
> Min første tanke er at flytte portnr. til noget andet en 3389, som jo vil
> være den første der vil blive portscannet i tilfælde af at der findes nye
> exploits til TS. Den nye port du vælger skal naturligvis mappes til din TS.

Jeg har hørt det også hjælper at male sin firewall grøn!

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den 14 Mar 2004 01:34:32 GMT skrev Christian E. Lysel:
>In article <c2ugd2$52q$1@sunsite.dk>, Steen Holm Pedersen wrote:
>> Min første tanke er at flytte portnr. til noget andet en 3389, som jo vil
>> være den første der vil blive portscannet i tilfælde af at der findes nye
>> exploits til TS. Den nye port du vælger skal naturligvis mappes til din TS.
>
>Jeg har hørt det også hjælper at male sin firewall grøn!

Nå, det er *derfor* at Cisco PIX er grønne

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Lars Hulbæk skrev:

> Jeg har brug for lidt sparring om følgende setup:

> Vi har en Terminal Server (2003) stående bag vores FW (fw1). Den
> vil jeg godt tillade brugere hjemmefra at logge på (en remote desktop).

Læs eventuelt "Windows Server 2003 Terminal Server Security":

http://www.microsoft.com/downloads/details.aspx?familyid=402a0cd1-9e4d-4007-8eaf-c30623e71250&displaylang=en

Du vil sandsynligvis kunne få bedre svar i denne gruppe:
news:dk.edb.system.ms-windows.terminal-services, da gruppen befolkes af
folk som sandsynligvis tidligere har gjort det du overvejer at gøre.