Vlákno názorů k článku Apache Guacamole: gateway pro vzdálený desktop (RDP a VNC) od Petr Topiarz - Dovolím si přeci jen nesouhlasit s tím, že...
-
Dovolím si přeci jen nesouhlasit s tím, že tohle řešení je lepší než NAT s port-fwd. Ačkoli je to řešení vyzkoušené, velmi funkční a také příjemné na obsluhu, vidím v něm potenciální díru. Zkrátka nemusí tam být, ale je tam. Další článek v řeťezu, který lze napadnout.
I když fail2ban a geo-omezení mohou pomoci, zdaleka to dnes nestačí. Už skoro měsíc čelím v jedné firmě, o kterou se starám útoku, který je totální vějíř. Jde ze všech zemí a zablokováno mám v současnosti okolo 25.000 ip adres a útok jede dál. Napadených počítačů jsou miliony a ty slouží jako kulomet útoků. Proti tomu je fail2ban i geo-limitace zcela bezmocná.
takže, chápu autora, ale nikdy bych to nenasadil....
-
Karel Hudaň (neregistrovaný)
A co nějakou obezličku typu "Port knocking" z jiné webové aplikace?
Ještě rozvažuji, že bych někdy někde vyzkoušel nutnost mít v prohlížeči ten správný certifikát, jinak člověka webový server ani nepřipojí. Tak to třeba řeší polská ING.
Ale popravdě mi zatím vždy přišlo jednodušší zprovoznit VPNku :) -
Tak, VPN je samozřejmě preferované řešení a pokud má někdo pracovní notebook a zároveň počítač v kanceláři, tak ji nasazujeme. Obecně nám ale přišlo jako menší riziko zprovoznit tohle, než dávat lidem VPN do jejich domácích strojů, nad kterými máme nulovou kontrolu. Certifikát je perfektní idea a jsem hodně nalomen k její implementaci.
-
VPN není dobrá volba, pokud potřebujete dostat RDP až na stanice.
V tu chvíli musíte mít statické IP adresy (čtyřikrát fuj pro IPv4, šestkrát fuj pro IPv6).
Na úrovni L3 firewallu nemáte informaci ani o uživateli VPN - takže se musíte zase spoléhat na statickou IP adresu, ani jistotu, že na cílové adrese je skutečně zamýšlené PC. Stačí malá chyba v konfiguraci firewallu nebo přiřazení uživatele VPN a stanice na pevnou adresu a máte díru jak vrata. Navíc jak za krále Klacka budete vést excel s IP adresami. Na IPv6 se už zblázníte, nastavit statické přiřazení.Pokud VPN, tak do DMZ a v DMZ použít proxování (např. remote desktop gateway). VPN může být zlepšení bezpečnosti, nikoliv náhrada.
-
Je to náchylné na chyby.
Nedá se to kontrolovat a ovládat centrálně.
Jakoukoliv změnu musíte provádět oběhnutím a přenastavením zařízení.
Obvykle nemáte dynamický zápis do DNS.U serverů lze využívat statické IP adresy, ale serverů je řádově méně, než stanic. Tam se IP adresa nastavuje staticky kvůli bezpečnosti.
U stanic statické adresy nepřinášejí žádnou výhodu. Obvykle statické adresy volí admini, kteří je "potřebují" kvůli bezpečnosti (L3 firewall nenastavíte aby chránil dynamickou adresu), nebo kvůli NATU. Obě myšlenky jsou v případě stanic a někdy i serverů z hlediska bezpečnosti překonané. L3 firewall dobře nastavit znamená prakticky neustále vylepšovat pravidla (kdo na to má čas?) a NAT na stanici je z gruntu špatná myšlenka. Proto se spíš používají protokolové proxy, na kterých lze vyhodnocovat daleko víc kritérií, než jen L3 hlavičky.
Mít statické IP adresy, NAT, VPN - to byla mantra devadesátých let a milenia. Dnes jsme už někde jinde.
-
Jasně, chápu vaši volbu a vysvětlení. To tedy potřebuje upřesnit. Váš popis perfektně funguje v případě velké firmy, kde máte stovky stanic v několika openspacech. Není to tak u menších firem a různých "nestandardních případů".
Vemte si, že se starám o firmu, která má 19 kanceláří v několika místech staré zástavby 19 počítačů. Obskurita - řeknete. Ale já se starám o 3 takové obskurity, každá jinak obskurní. Podle IP sleduji, které stanice běží, případně které jsou nedostupné a v případně výpadku vím v jakém místě šílené infrastruktury je porucha. No a pokud potřebuju něco přenastavit, nemusím nic obíhat, jen se vzdáleně přihlásím a přenastavím nadálku. (hlásím se servisním účtem, nikomu nelezu do jeho heslel apod).
Takže spíše bych řekl, že je to trochu případ od případu, nemyslíte? :-) -
Podle IP sleduji, které stanice běží, případně které jsou nedostupné a v případně výpadku vím v jakém místě šílené infrastruktury je porucha. No a pokud potřebuju něco přenastavit, nemusím nic obíhat, jen se vzdáleně přihlásím a přenastavím nadálku. (hlásím se servisním účtem, nikomu nelezu do jeho heslel apod).
Takže spíše bych řekl, že je to trochu případ od případu, nemyslíte? :-)Určitě je to situace od situace. Bohužel na takovou popsanou situaci se nabalují právě ta další hloupá řešení. Např. nemít gateway pro vzdálenou plochu a řešit přístupy přes VPN a RDP. Ono pak už jedno blbé řešení nabaluje druhé, třetí, čtvrté .- a už z toho není cesta ven. Když to chcete změnit k nějakému normálu, tak zjistíte, že by to stálo neskutečně moc peněz (a pak už vymyslíte spoustu argumentů, proč je lepší nic neměnit).
Můj názor na to je, že "obskurní" situace se mají předně řešit. Když už musím mít ve staré zástavbě spoustu switchů, tak tam dám třeba Cisco Catalysty a nastavím si AAA + monitoring. O síťovém problému vím hned, aniž bych to musel suplovat "pingáním" statických IP adres stanic. Chci vědět jestli stanice běží? Podívám se, jestli je port na switchi UP, kdy natáhl poslední lease z DHCP apod. Na dálku se na stanice přihlásím stejně tak, ať mám statické nebo dynamické IP adresy. Stačí k tomu nastavit i registraci do DNS. Myslím, že je daleko lepší šetřit čas zkušeného ajťáka na to, aby něco opravdu tvořil, než ho profesně zabít na obskuritách.
Argumenty, co jste mi popsal, jsem samozřejmě v praxi taky potkal. Své kolegy se mi nakonec vždy podařilo přesvědčit o tom, že to jde dělat lépe a otevřít si tím možnosti pro nasazování i novějších technologií.
PS: když už mít na pevno přiřazenou IP adresu, tak aspoň přes rezervaci v DHCP. I to dokáže dost pomoct, když potřebujete síť přenastavit.
25. 3. 2020, 23:55 editováno autorem komentáře
-
Nu, u velkého korporátu bych už spíše čekal, že normální lidi nemají důvod lézt na svůj fyzický desktop, ale polezou na nějaký virtuální. Stejně tak i když sedí v kanclu, tak stjeně jeho lokální PC slouží často jen jako temrinál pro pouštění remota app/desktopu. Takže přístup z venku míří stejně na ten virtuál. Na desktop leze leda tak admin nějakým vhodným nástrojem pro administraci/asistenci.
U malých chápu, že toto řešení připadá těžko v úvahu, když je toho mnoho rozházeno po lokálních stolních PC.
To Win infrastruktura neumí dělat rozumně řízení statických IP adres tak, aby se admin z toho nezbláznil? Mám DB přípustných PC, jejich MAC pro lan, wifi, ID LTE4 karty, k tomu přidělen suffix IP a IPv6 adresy (jejich lokální LAN část) a z toho se automaticky berou podklady pro všechny DHCP/DHCPv6 sítě po celé republice i na mobilní připojení (čili LAN část IP/IPv6 je pořád stejná ať je kde je, mění se prefix sítě dle aktuální polohy ve firmě), samozřejmě napojeno na DNS, ať se aktualizuje záznam. Stjeně tak se dle toho beoru data pro 802.1x, počítač se ověří svým certifikátem/členstvím v doméně, dle toho plyne ne/puštění do LAN, namapování na příslušnou VLAN, dle tooh dostane i IP/IPv6 od DHCP, nahodí se i MAC/IP/IPv6 svázání kontroly a další podobné vylomeniny.
Celkem potkávám podobné řešení i ve velkých firmách. Vidám, že počátač i servery mají stjené IP přes 20 let, přestože se vlastní HW už X-krát změnil a třeba i přestěhoval o pár set km jinam (velká firma=má problém se svoji vnitřní infrstrukturou vejít do segmentu 10.0.0.0/8). :-)
