Włamy w firmie przez pulpity zdalne


(kordikos) #1

U mnie w firmie wdrażamy system ERP. Ogarynamy serwery i oprogramowanie do sklepu internetowego, sprzężonego z ERP. Normalnie sklep powinien chodzić po prostu w przeglądarce. Jednak w naszej firmie jest coś takiego jak zatwierdzanie zamówień przez dystrybutorów, którzy przyjmują zamówienia od handlowców i nie idzie tego obsłużyć w przeglądarce.

Ograne jest to w taki sposób że każdy dystrybutor wchodzi przez pulpit zdalny na serwer i dostaje okrojoną wersję ERP w którym może zatwierdzać zamówienia. Na serwerze znajduje się Windows Server i każdy dystrybutor ma swoje konto domenowe. Trzeba było do tego zrobić przekierowanie i otwieranie portów.

Po kilku dniach włamali się Chińczycy i zniszczyli całą robotę. Zainstalowano zabezpieczenia Sofos ale Chińczycy znowu się wdarli.

Zerwaliśmy umowę z homem i teraz szukamy odpowiednio zabezpieczonych serwerów.

Pytanie czy samo rozwiązanie jest bezpieczne i czy nie da się tego rozwiązać w inny sposób. Ktoś z was może używał aplikacji RemoteApp? Zastanawiam się czemu pulpity zdalne są takie niebezpieczne. A może nie są, tylko trzeba odpowiednio to skonfigurować.


(qbpm) #2

Oprogramowanie na serwerze i sam serwer w pełni zaktualizowany? Wszystkie poprawki Windows Update są? Hasła są mocne? Jeśli tak, to w miarę powinno być bezpiecznie, przez wiele lat miałem pulpit zdalny wystawiony na świat i nic się nie działo, oprócz prób logowania na ślepo. Jednak nie jest to dobrą praktyką i już tak nie mam. Może któryś z dystrybutorów ma trojana w sieci i hasła wyciekają. Dobrze jest zmienić port usługi pulpitu zdalnego na jakiś nietypowy.
Tak w ogóle to jest wbudowany w Windows pulpit zdalny czy jakieś VNC czy jeszcze coś innego? Można użyć jakiegoś VPN lub tunelu SSH do jakiegoś pośredniczącego serwera, który jako jedyny by był uprawniony do logowania.


(bachus) #3
  • Co to są “zabezpieczenia Sophos”?
  • skąd wiadomo, że Chinczycy?
  • kto administruje tym serwerem, ustawił konta/hasła?
  • co jest “wystawione” z tego serwera na zewnątrz poza serwerem terminali (3389)?

(roobal) #4

Dla jednego pracownika zdalnego mam zrobiony VPN. Aplikacja jest na służbowym laptopie. Podpina się do bazy na serwerze i pobiera licencję z haspa. Proponuję zastosować takie samo rozwiązanie.


(kordikos) #5

Żaden z dystrybutorów jeszcze się nie podłączył, wszystko było w fazie testów.

Windowsowe pulpity zdalne. Myśleliśmy nad czymś takim jak TeamViewer ale tutaj każdy musi mieć swoje konto domenowe.

https://www.sophos.com/en-us/products/sophos-central.aspx
Podobno software’owy firewall i ochrona przed różnymi syfami.

Usunęli dane i wszędzie powstawiali chińskie znaczki.

Wiem że otwierali jakieś porty żeby udostępnić zdalny dostęp dystrybutorom. Teraz chcą znaleźć jakiegoś lepszego administratora serwera który będzie się takimi rzeczami zajmował. Sory, że nie daje zbyt profesjonalnych informacji.Bym się dowiedział czegoś więcej ale zastanawiam się jak to ugryźć i o co konkretnie się spytać.

Ja też się podłączam zdalnie do firmy przez FortiClient (od firewalla sprzętowego FortiGate). To zapewne daje bezpieczne połączenie. Pytanie czy jest jakaś przeszkoda techniczna żeby zapewnić to dystrybutorom. Pewnie sęk w tym że normalnie daje im się login i hasło i mogą wchodzić. Tu trzeba by było na wszystkich komputerach z których podłączają się dystrybutorzy instalować klienta.


(roobal) #6

Chyba nie zrozumiałeś. Dystrybutor zestawia VPN. Na swoim komputerze ma zainstalowaną apkę ERPa. W apce zapewne wskazujesz bazę SQL i skąd ma pobierać licencję. W ten sposób nie musisz nikogo wpuszczać na serwer.

Do tego na firewallu możesz ograniczyć ruch z VPN tylko do podsieci, w której jest SQL i tylko do niego, żeby gostek przez VPN nie biegał Tobie po całej sieci.

W każdym razie, nawet jeśli musisz dać RDPa, to przez VPN i tak będzie to bezpieczniejsze, niż bezpośrednio z Internetu.


(thommy181) #7

Jeżeli masz typowe pulpity zdalne Windows to by to poprawnie działało wszyscy klienci, którzy się logują do serwera również powinni mieć aktualny system. Jeżeli klientów jest dużo nie sposób oczywiście doprowadzić do tego by każdy system był aktualny. Biorąc pod uwagę, że już mieliście włamania trzebaby ogarniać to od początku. Po pierwsze serwer musi być w pełni zaktualizowany. Wszystkie stacje robocze, które są w firmie powinny być również zaktualizowane, odwirusowane i itd. Kolejna sprawa to taki osprzęt jak switche, routery czyli hardware sieciowy. Czy tu wszystkie urządzenia mają aktualny firmware, hasła są silne i nie pozostawione domyślne ? Usługi UpnP wyłączone w routerach switchach oraz wszystkich kartach sieciowych ? Czy są wyłączone usługi typu Windows Defender, Zapora systemu Windows (paradoksalnie zamiast ochrony to są często furtki). Mowa o zabezpieczeniu “Sophos”. Gdybym miał stosować akurat takie zabezpieczenie to pytanie co z jego aktualnością. Pozostaje jeszcze kwestia konfiguracji tych antywirusów na serwerze i wszystkich stacjach. Nie wystarczy bowiem mieć antywirusa bo trzeba go jeszcze zaktualizować.


(Edgarus) #8

Włam na rdp, kojarzy mi się z jedną zasadniczą opcją. Hasło admina lokalnego maszyny to P@ssw0rd. Admin stawiał maszynę, ustawił tak bo wygodnie, zapomniał zmienić.


(hindus) #9

Skąd wiadomo, że włam w ogóle był przez RDP? Jakieś logi, które o tym świadczą? Czy spekulacje “bo to jedyna możliwość”? Włam jeden po drugim w tak krótkim czasie świadczy albo o tym, że ktoś ma zawirusowanego kompa / keyloggera i jego hasło wyciekło, albo: