Sicherheitsbedenken: Systemhaus öffnet Port dauerhaft für Fernwartung via RDP

sinkpäd

Lt. Commander
Registriert
Aug. 2009
Beiträge
1.537
Hatten letzte Woche nen Serverumzug (2k3 -> 2k16) in unserem kleinen Büro (10 MA), der von einem Systemhaus durchgeführt wurde.

Da ich mich gefragt habe, wie die Firma künftig unser System fernwarten will (Teamviewer, VPN usw. sind nicht eingerichtet), habe ich einen Blick in unseren Router (Linksys Consumer Router) geworfen und festgestellt, dass sie über einen dreistelligen Port, der nun dauerhaft offen ist, über RDP draufgehen, habe es eben von daheim getestet und das funzt ohne Weiteres. Da das Kennwort unseres Adminaccounts relativ einfach ist, habe ich jetzt massive Sicherheitsbedenken, dass sich jemand Zugriff auf unser System verschafft.

Selbstverständlich muss ein potentieller Angreifer erstmal auf unsere dynamische WAN-IP oder die DynDNS Adresse kommen, dann noch auf den offenen Port stoßen und den Windowslogin knacken aber sag niemals nie.

Der Salesmensch des Systemhauses wollte uns eine für unsere Zwecke total übertriebene Sophos Firewall für 1.500 € + USt verkaufen und die IT-ler selbst sind so leichtsinnig?

Wollte erst mal euch Experten fragen, bevor ich denen eventuell zu Unrecht an den Karren fahre aber meine Bedenken sind doch sicherlich berechtigt oder was meint ihr?
 
Zuletzt bearbeitet:
Nach außen offene Ports für RDP sind ein absolutes No-Go damit hast du schon völlig recht.
 
bumbklaatt schrieb:
Da das Kennwort unseres Adminaccounts relativ einfach ist, habe ich jetzt massive Sicherheitsbedenken
Das ist doch ein klassischer Fall von "Selber schuld".

Anders herum: Wie soll ich meine Server im Rechenzentrum benutzen wenn nicht mindestens ein RDP oder SSH-Port offen ist? Durch Zauberei? :)
 
wartungsfenster festlegen, kunde stellt verbindung per vpn zum systemhaus her. der support soll ständig zugang zum server haben? ich denke eher nicht...
 
Nichts bezüglich Fernwartung. Ist ja aber durchaus legitim, dass sowas vorbereitet wird aber eben nicht auf diese Art und Weise würde ich meinen.
 
Nichts bezüglich Fernwartung

Dann haben sie eigenmächtig gehandelt und das ist, höflich formuliert, "fragwürdig".
Ich wäre als Kunde wäre sehr "sauer".

Die können das dem Kunden empfehlen und einrichten wenn der das möchte aber dürfen das nie eigenmächtig und heimlich einrichten.
 
Zuletzt bearbeitet:
Zunächst einmal sollte es mit dem Kunden abgesprochen werden.

Viele Möglichkeiten hatte die Technik aber vermutlich nicht wenn ihr, wie du selbst sagst, einen Baumarktrouter im Einsatz habt der vermutlich kein anständiges VPN unterstützt.

Ob du dann einen RDP Port offen lässt oder TeamViewer dauerhaft auf Server installieren lässt ist genauso sicher/unsicher.

Die Probleme habt ihr euch aber auch selbst gemacht. Einfaches Kennwort (das ihr vermutlich behalten wolltet), Baumarktrouter und die Firma soll vermutlich Fernwartung auf dem Server machen, um Updates außerhalb der Geschäftszeit durchführen zu können oder die Datensicherung zu überprüfen.

Was soll dann ein Techniker machen, außer den Vertrieb anzuweisen euch einen Router/Firewall anzubieten? Dazu solltest du auch nicht vergessen, dass vermutlich Millionen Kunden heutzutage über ein RD Gateway oder Citrix NetScaler tagtäglich auf ihr Netzwerk zugreifen. Die größte Schwachstelle wird vermutlich euer Kennwort sein.

btw. Die Sophos (ehemals Astaro) Firewall ist in Deutschland beliebt aber in meinen Augen in vielerlei Hinsicht schrott. Anständige Router gibt es zuhauf von Lancom, wenn es denn unbedingt eine Applikation Firewall sein soll würde ich zu SonicWall greifen.
 
Zuletzt bearbeitet:
xexex schrieb:
Viele Möglichkeiten hatte die Technik aber vermutlich nicht wenn ihr, wie du selbst sagst, einen Baumarktrouter im Einsatz habt der vermutlich kein anständiges VPN unterstützt.

Jeder Router hat VPN Passthrough, man hätte entweder direkt den Server oder unser QNAP als VPN Server konfigurieren können.

xexex schrieb:
Einfaches Kennwort (das ihr vermutlich behalten wolltet)
Wollten wir nicht unbedingt behalten, wir wurden nicht gefragt.

xexex schrieb:
Baumarktrouter und die Firma soll vermutlich Fernwartung auf dem Server machen, um Updates außerhalb der Geschäftszeit durchführen zu können oder die Datensicherung zu überprüfen.
Es wurde kein Wartungsvertrag abgeschlossen, Updates installieren wir selbst. Die Firma hat bisher per Fernwartung nur das Backup fertig konfiguriert weil sie damit vor Ort nicht mehr fertig wurden.
 
bumbklaatt schrieb:
Jeder Router hat VPN Passthrough, man hätte entweder direkt den Server oder unser QNAP als VPN Server konfigurieren können

Glaube mir, kein halbwegs professionelles Systemhaus fummelt mit OpenSSL oder RAS Diensten auf dem Server herum die dann per Portweiterleitung freigegeben werden. VPN Passthrough soll dazu dienen VPN Clients von innen Verbindungen zu externen Servern zu ermöglichen. Es gab Zeit und Router da kam der Router nicht damit zurecht, wenn mehre Personen hinter so einem Gerät eine VPN Verbindung aufbauen wollten.
http://www.tp-link.com/us/FAQ-558.html

Hilft nichts. Wenn so ein Zugang nicht gewünscht war und ihr darüber nicht informiert wurdet, dann soll das Unternehmen es auch nicht einrichten.
 
Zuletzt bearbeitet:
bumbklaatt schrieb:
Selbstverständlich muss ein potentieller Angreifer erstmal auf unsere dynamische WAN-IP oder die DynDNS Adresse kommen, dann noch auf den offenen Port stoßen und den Windowslogin knacken aber sag niemals nie.

Stand der Technik ist den IPv6-Adressbereich innerhalb von 2Tagen mit Botnetzen auf alle gängigen Ports abzuklopfen. Wenn bei sowas das Prinzip Hoffnung genutzt werden soll, freut sich irgend ein Dritter ;).
 
Piktogramm schrieb:
Stand der Technik ist den IPv6-Adressbereich innerhalb von 2Tagen mit Botnetzen auf alle gängigen Ports abzuklopfen. Wenn bei sowas das Prinzip Hoffnung genutzt werden soll, freut sich irgend ein Dritter ;).

Und? Dann muss man dann noch immer herauszufinden welcher Dienst sich dahinter verbirgt, und auf eine Sicherheitslücke in diesem Dienst hoffen oder das Kennwort per Bruteforce knacken.

Das ist alles möglich, nur ist es per se nicht gleich ein offenes Scheunentor. Dann dürfte man heutzutage kein OWA, kein Citrix und am besten auch gleich gar kein Internet nutzen.

Vermutlich findet man wesentlich schneller eine Sicherheitslücke in dem eingesetzten Baumarktrouter und verschafft sich darüber Zugang. Da braucht man dann auch nicht selbst zu scannen, sondern macht einfach eine Shodan Abfrage und kann sich austoben.
 
Zuletzt bearbeitet:
Mir würde das schwache Passwort auch mehr Sorgen machen, als ein offener Port. Zumal das Passwort bestimmt schon zu 2003er Zeiten eingerichtet wurde.

Bestimmt sind auch alle Mitarbeiter auf IT-sicherheit geschult und es hat auch noch nie jemand einen privaten USB Stick angeschlossen. ;-)
 
Selbstverständlich muss ein potentieller Angreifer erstmal auf unsere dynamische WAN-IP oder die DynDNS Adresse kommen, dann noch auf den offenen Port stoßen
keine angst, das machen bots ganz automatisch.

Also für mich ist die Sache einfach..
offenbar wurde der Zugang benötigt, wie du selbst sagst, um die Sicherung fertig einzurichten.
Das wird ja irgendwann auch mal erfolgt sein. Also dann Ports dicht machen und fertig.
 
Moin,

dann ändert doch als erstes mal das Admin Passwort, bei der Gelegeneheit könnt ihr gleich alle Userpasswörter auf die Sicherheit überrpüfen....den RDP Port kannst du zumachen. Wartungsfenster können auch vorher abgeklärt werden. Für diesen Zweck kannst du dann auch den Teamviewer nutzen. Der Dienst wird ja dann nur innerhalb des Wartungsfensters bereitgestellt.

Ansonsten einen halbwegs vernünftigen Router wie den Lancom einsetzen und direct per IPSec eine Verbindung einrichten. Das geht mit den Geräten recht fix. Außerdem sind die Teile gut Dokumentiert und Supportet.


Grüße
 
Nun ist das Backup angeblich fertig eingerichtet, habe ich im Übrigen erst auf Nachfrage erfahren.

Eingestellt wurde (habe eben nachgeschaut):

1) Backuptool auf unserem Server sichert auf eine SMB Freigabe der internen Platten des QNAPS (X: )
2) Backuptool auf unserem Server sichert Inhalt der SMB Freigabe des QNAPS (X: ) auf eine externe am QNAP angeschlossene Platte, für die auch eine SMB-Freigabe auf den Server gemappt ist. (Y: ) Also (X: -> Y: ). Die externen Platten werden täglich durchgewechselt und vom Chef daheim gelagert, 5 sind vorhanden.

Bei Schritt 2 wandert doch der gesamte Datenberg, der schon auf dem QNAP liegt, nochmal über den Server und zurück oder irre ich mich da? Und das obwohl man im QNAP selbst auch Backupjobs anlegen kann. :confused_alt:
 
Zuletzt bearbeitet:
bumbklaatt schrieb:
Bei Schritt 2 wandert doch der gesamte Datenberg, der schon auf dem QNAP liegt, nochmal über den Server und zurück oder irre ich mich da? Und das obwohl man im QNAP selbst auch Backupjobs anlegen kann. :confused_alt:

Und wer prüft dann beide Sicherungsaufträge?
 
Was soll denn diese stichelige Art? Ich möchte hier keineswegs euren Berufsstand diskreditieren aber man wird doch Dinge, die aufs erste nicht ganz durchdacht wirken, in Frage stellen dürfen?

Die Backupstrategie wird ja sicherlich noch für uns dokumentiert und ob ich nach der Prüfung des Jobs auf dem Server noch kurz aufs NAS gehe ist doch auch kein Beinbruch. Gegen die SMB Freigabe Y: ist ja auch nichts einzuwenden, denn auch dadurch könnte man gleich auf dem Server sehen, ob die Daten darauf aktuell sind.
 
bumbklaatt schrieb:
Bei Schritt 2 wandert doch der gesamte Datenberg, der schon auf dem QNAP liegt, nochmal über den Server und zurück oder irre ich mich da? Und das obwohl man im QNAP selbst auch Backupjobs anlegen kann. :confused_alt:
Die Einrichtung macht so auf den ersten blick insofern sinn dass man ja einen zeitlichen ablauf reinbringen muss (Windows Sicherung fertig -> sicherheitskopie anlegen)...das könnte mit der qnap eigenen Sicherung/Kopierfunktion u.U. schwierig beim Timing sein, keine Ahnung ob man so eine Sicherung auf der qnap remote anschubsen kann, kenne qnap nicht. Fixe zeitpläne sind aber erfahrungsgemäß immer falsch wenn sie voneinander abhängen. Wobei ich natürlich nicht weiß ob es so eingerichtet wurde aber das wäre für mich ein grund warum man es so macht.
Ja prinzipiell läuft bei der variante der verkehr von der qnap zum Server und wieder zurück

Zum Port wurde ja schon gesagt, was nicht benötigt wird zu machen. Dem Dienstleister würde ich aber so oder so auf die Mütze hauen dass er es nicht zumindest kommuniziert hat dass hier ein port remote erreichbar gemacht wurde.
Dass ansich ein port offen sein kann würde ich nicht als bedenklich einstufen...über das Passwort solltet ihr euch Gedanken machen und sollte der rdp port weiter offen bleiben würde ich zumindest schauen das min tls aktiviert ist und alles darunter verboten
 
bumbklaatt schrieb:
Was soll denn diese stichelige Art?

/Böser Blick an
Einfach ausgedrückt? Wenn du es besser kannst, dann mach es in Zukunft selbst.
/Böser Blick aus

Es gibt 100 Wege in der EDV etwas zu lösen, die letztlich alle zum Erfolg führen. Jeder Weg hat so seine Vor- und Nachteile.

So wie es sich aber anhört versucht du gegen das Systemhaus zu sticheln, dabei habt ihr nicht einmal geschafft ein Pflichtenheft anzulegen euch von Anfang an die Lösung erklären zu lassen und die Punkte mit dem Anbieter zu klären. Die Fragen die du hier im Forum stellst, solltest du an das Systemhaus stellen und dir erklären lassen wieso etwas so und nicht anders eingerichtet wurde. Das weiß letztlich nur die Technik selbst.

Dein Datensicherungsfall ist das beste Beispiel dafür.

Wer ist bei euch dafür zuständig die Datensicherung zu prüfen oder soll es das Systemhaus tun? Machst du die Sicherung über das NAS, geht es vermutlich schneller, musst aber definitiv 2 Stellen prüfen. Prüft es das Systemhaus, wird es vermutlich irgendwo zentral verwaltet, da will niemand x Protokolle von jedem Kunden überprüfen.

Letztlich wird es Gründe geben wieso jemand etwas so und ein anderer anders löst weil es in der EDV selten die "beste" Lösung für ein Problem gibt. Vieles ist an persönliche Präferenzen, firmeninterne Vorgaben, bessere Verwaltungsmöglichkeiten oder letztlich an die jeweiligen Gegebenheiten gekoppelt.

Aus persönlicher Erfahrung kann ich nur hinzufügen, dass solche Kleinstprojekte selten mit dem Kunden richtig abgesprochen werden. Dazu fehlt den meisten Kunden jegliche Kompetenz und Verständnis. Wäre sie beim Kunden vorhanden, könnte er die Aufgabe in vielen Fällen selbst übernehmen. Deshalb basiert so eine Einrichtung auch auf einem gewissen Vertrauen und man definiert grob die Punkte die erreicht werden sollen.

Das ist übrigens auch in jeglichen Branchen so üblich. Ob du dir ein Haus bauen lässt oder nur eine Wohnung streichen lässt, solltest du es entweder selbst tun oder sich drauf verlassen, dass es ein Profi "richtig" durchführt. Am Ende ist die Wand Grün, Weiss oder Gelb. Wie sie die Farbe angenommen hat ist dabei irrelevant solange sie deinem Wunsch entspricht.
 
Zuletzt bearbeitet:
Zurück
Oben