Hallo,
es soll für wenige Stunden ein PC über RDP direkt aus dem Internet erreichbar gemacht werden.
Sehr wahrscheinlich wird das nicht passieren, mich interessiert an dem Beispiel nur die Geolocation Frage.
Klar, gibt es bessere Möglichkeiten wie Remotehilfe, Anydesk, VNC uvm.
LANCOM IPSEC Lizenz Beschaffung ist ja der einzige vernünftige nächste Schritt.
Allerdings gibt es 2-3 interne Gründe weshalb Neu-Investitionen nicht so einfach sind.
30 Tage Demo geht nicht.
Frage: Kann man im LANCOM auch ein Geo Location Blocker in der RDP Maskierung aktivieren
Lancom R883+ (Niederlassung) mit aktueller Firmware
kann man bei einer LANCOM Policy auch allow Source Geo Location festlegen?
Moderator: Lancom-Systems Moderatoren
-
lancomuserX
- Beiträge: 14
- Registriert: 19 Jul 2012, 10:08
Re: kann man bei einer LANCOM Policy auch allow Source Geo Location festlegen?
Geo Blocker innerhalb des Lancoms sind mir überhaupt nicht bekannt. Der Windows 10 IPSec Client kann sich auch direkt mit Lancom verbinden. Für ältere Windows oder wenn man keine Zeit für Zertifikate hat, kann man auch ein IKEv1-VPN mit StrongSwan für Windows einrichten.
Die Frage nur: Lancom VPN CLient: ~70€, VPN-Einrichtung mit Zertifikaten und Windows-Client ~2-4h Arbeit einer Fachkraft. Was ist da günstiger?
Die Frage nur: Lancom VPN CLient: ~70€, VPN-Einrichtung mit Zertifikaten und Windows-Client ~2-4h Arbeit einer Fachkraft. Was ist da günstiger?
Re: kann man bei einer LANCOM Policy auch allow Source Geo Location festlegen?
Hi lancomuserX,
Geoblocking ist wie Schlangenöl... fühlt sich gut an, bringt aber nichts - denn die Bösen sitzen nicht unbedingt in China oder Russland oder der Ukraine...
stattdessen solltest du sichere Paßwörter verwenden...
aber wenn du dich damit sicherer fühlst, kannst du einfach zwei Firewall-Regeln aufnehmen
sicherer ist aber ein Zugang per VPN
Gruß
Backslash
Geoblocking ist wie Schlangenöl... fühlt sich gut an, bringt aber nichts - denn die Bösen sitzen nicht unbedingt in China oder Russland oder der Ukraine...
stattdessen solltest du sichere Paßwörter verwenden...
aber wenn du dich damit sicherer fühlst, kannst du einfach zwei Firewall-Regeln aufnehmen
- eine, die den Traffic von allen Quellen an die IP des PCs unterbindet und
- eine, die den Traffic von einer Liste erlaubter IP-Adressen oder Netze hat and IP des PCs erlaubt
sicherer ist aber ein Zugang per VPN
Gruß
Backslash
Re: kann man bei einer LANCOM Policy auch allow Source Geo Location festlegen?
Hallo lancomuserX,
Falls ihr das wirklich zulasst, geht das für euch sehr wahrscheinlich nicht gut aus. Dafür braucht es auch nicht Stunden sondern nur Minuten. Da kann man euch zur Schadensbegrenzung nur noch empfehlen, diesen PC vom Rest des Netzwerks abzukoppeln, abzuschotten oder alles andere vom Netz zu nehmen.
CU
C/5
Das ist ein No Go. RDP via Internet nur über VPN.es soll für wenige Stunden ein PC über RDP direkt aus dem Internet erreichbar gemacht werden.
Falls ihr das wirklich zulasst, geht das für euch sehr wahrscheinlich nicht gut aus. Dafür braucht es auch nicht Stunden sondern nur Minuten. Da kann man euch zur Schadensbegrenzung nur noch empfehlen, diesen PC vom Rest des Netzwerks abzukoppeln, abzuschotten oder alles andere vom Netz zu nehmen.
CU
C/5
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: kann man bei einer LANCOM Policy auch allow Source Geo Location festlegen?
So ein Quatch. RDP über einen anderen Port freigeben und fertig. Hält Monatelang. Kannst du schön als Honeypot testen.C/5 hat geschrieben: 18 Mär 2024, 19:41 Hallo lancomuserX,
Das ist ein No Go. RDP via Internet nur über VPN.es soll für wenige Stunden ein PC über RDP direkt aus dem Internet erreichbar gemacht werden.
Falls ihr das wirklich zulasst, geht das für euch sehr wahrscheinlich nicht gut aus. Dafür braucht es auch nicht Stunden sondern nur Minuten. Da kann man euch zur Schadensbegrenzung nur noch empfehlen, diesen PC vom Rest des Netzwerks abzukoppeln, abzuschotten oder alles andere vom Netz zu nehmen.
CU
C/5
Re: kann man bei einer LANCOM Policy auch allow Source Geo Location festlegen?
Hallo Dr. Einstein,
Meine Erfahrungen damit sind offenbar anders als Deine und das war und ist mir eine Warnung für den OP wert, ehe er sich damit die Karten legt.
Einfach nur einen anderen Port spezifizieren ändert jedenfalls nichts an der prinzipiellen Angreifbarkeit dieses Protokolls. Wie weiter oben schon angemerkt wurde, ist mindestens ein sicheres und langes Kennwort unumgänglich. Ansatz und Schilderungen des OP könnte man allerdings so interpretieren, dass im Sinne weiterer Kompromisse der vorgesehene Nutzer, der RPD in dem Szenario nutzen soll, wohlmöglich auch noch mit einem einfach zu merkenden Passwort bedacht wird. Genügend sichere Passworte sind i.d.R. nicht einfach zu merken. Schließlich, einen Honeypot stellt sich wohl niemand freiwillig ins interne Netz, sondern in einen sorgfältig abgeschotteten Netzwerkbereich.
Aber gut, viele der Kollegen hier sind tiefergehend in Security-Thematiken bewandert. Wenn's allseits unter den bisher genannten Rahmenbedinungen als unproblematisch angesehen wird, dann sei es so.
CU
C/5
Da kann man unterschiedlicher Meinung sein und das ist auch kein Problem für mich, wenn jemand anderer Meinung ist.Dr.Einstein hat geschrieben: 18 Mär 2024, 19:47So ein Quatch. RDP über einen anderen Port freigeben und fertig. Hält Monatelang. Kannst du schön als Honeypot testen.
Meine Erfahrungen damit sind offenbar anders als Deine und das war und ist mir eine Warnung für den OP wert, ehe er sich damit die Karten legt.
Einfach nur einen anderen Port spezifizieren ändert jedenfalls nichts an der prinzipiellen Angreifbarkeit dieses Protokolls. Wie weiter oben schon angemerkt wurde, ist mindestens ein sicheres und langes Kennwort unumgänglich. Ansatz und Schilderungen des OP könnte man allerdings so interpretieren, dass im Sinne weiterer Kompromisse der vorgesehene Nutzer, der RPD in dem Szenario nutzen soll, wohlmöglich auch noch mit einem einfach zu merkenden Passwort bedacht wird. Genügend sichere Passworte sind i.d.R. nicht einfach zu merken. Schließlich, einen Honeypot stellt sich wohl niemand freiwillig ins interne Netz, sondern in einen sorgfältig abgeschotteten Netzwerkbereich.
Aber gut, viele der Kollegen hier sind tiefergehend in Security-Thematiken bewandert. Wenn's allseits unter den bisher genannten Rahmenbedinungen als unproblematisch angesehen wird, dann sei es so.
CU
C/5