Turvallinen etäyhteys sisäverkon ulkopuolelta

Liittynyt
12.06.2017
Viestejä
338
Moikka.

On tarvetta päästä käyttelemään Win 10 konetta sisäverkon ulkopuolelta säännöllisesti ja tähän asti olen vain ottanut Windowsin asetuksista etätyöpöydän käyttöön + NLA täppä päälle, jonka ohella reitittimestä avattu omavalintainen portti.

Kuitenkin "yllättäen" event vieweristä katsottuna muutaman viimepäivän sisään löytyy kymmeniä tuhansia kirjautumisyrityksiä eli on teoriassa mahdollista, että joskus bottien arpa osuu oikeaan. Brute-force-hyökkäystä lähdin torjumaan ensihätään blokkaamalla kasan ip-osoitteita, jotka sisälsivät hyökkääjien käyttämät pari osoitetta, mutta tämä ei kuitenkaan oikein ole riittävän tehokas keino koska oma "etä-ip" vaihtuu joskus eli vain yhden ip:n salliminen reitittimen portista sisään tuottaisi satunnaista päänvaivaa ja useamman sallimisen osalta en taas tiedä kaikkia isp:n omistamia osoitteita ja vaikka nämä saisi selville niin lienee mahdollista, että joku näistä osoitteista sisältäisi kaapatun koneen. Toisena torjuntakeinona lisäsin tilin lukkiutumisen parin yrityksen jälkeen n-tunniksi eli vaikka botti keksisi koittaa oikealla käyttäjätunnuksella niin >16 merkkisen salasanan arvaaminen oikein lienee melko häviävän pieni mahdollisuus edes vuosien aikajänteellä, varsinkin, kun en samaa ole käyttänyt missään verkkopalveluissa. Jälkimmäinen saattaa myös osua omaan nilkkaan niin, että oikealla tunnuksella yrittävä botti estää oman etäkäytön, joten siksi kaipaisin fiksumpaa korvaavaa menetelmää.

Lisäksi pohdin myös sitä riskiä, että vaikkei kukaan ulkopuolinen koskaan keksisi oikeaa käyttäjätunnus-salasana-komboa niin itse MS RDP:ssä voi olla haavoittuvuuksia, joita ei ole tullut julki. Kysyisinkin täältä, että mikä olisi fiksumpi tai paras tapa yhdistää ulkoverkosta?

Ensimmäinen vaihtoehto mikä tuli itsellä hakukoneesta vastaan on asentaa kohdetietokoneelle OpenVPN-palvelin, johon yhdistäisi ensin ja sen jälkeen winukan rdp:hen näin sisäverkon kautta. OpenVPN-palvelintoiminto löytyy myös reitittimestä (Telewell eav510v6), joten olisiko reitittimen sisäänrakennettu toteutus jotenkin parempi tai huonompi kuin winukkaan asennettu softa?

Entä onko tälläinen OpenVPN-palvelin altis vastaavalle brute-forcelle tai onko jotain turvallisempia tai helpompia vaihtoehtoja yhdistää kodin ulkopuolelta koneelle?

Mitään arvokasta dataa ei kyseessä olevalla koneella ole, muttei silti kiinnostaisi päästää sitä osaksi jonkun rikollisen bottiverkkoa tai hakkerointikanavaa. Toisaalta hyvän ratkaisun voisin ottaa toisessakin osoitteessa käyttöön, jossa vastaavasti on itselle tärkeää dataa koneella ja riskinottohalukkuus siltä osin paljon pienempi.
 
Itse käytän nykyään Parsec-nimistä etäyhteyssoftaa, joka osaa kiertää NATin.

Mutta jos pakko olla RDP, niin VPN väliin vaan. Ainakin kaksi suojauskerrosta silloin.
 
Täällä on käytössä ollut tuo OpenVPN + RDP compo ongelmitta ja nyt viimeksi vaihdoin OpenVPN:n tilalle Zerotierin. Zerotier helpompi ottaa käyttöön ja ei tarvitse tehdä puukotuksia NAT:tiin ollenkaan.

Huonopuoli Zerotierissä on se, että sen kautta pääsee vain niihin koneisiin, joihin se on asennettu, ei koko sisäverkkoon ilman lisäsäätöjä. Mutta, jos tarvetta on päästä käsiksi vain esim. yhteen sisäverkon koneeseen, niin se on todella simppeliä.
 
Täällä jokseenkin samanlaisia tarpeita kuin säikeen aloittajalla. Päätin sitten kokeilla tuota Zerotieria, ja pikaisen asennuksen, konffaamisen ja kokeilun jälkeen totesin tämän itselleni oikein sopivaksi, joten kiitokset @A Lake Elk tästä! Tuo "huono puoli" oli itselleni vaan plussaa, ettei pääse koko sisäverkkoon (ilman säätöjä).
 
Olisiko yksi vaihtoehto ostaa staattinen ip ja sallia vain se? Luulisi myös ip:n heittäminen automaattisesti banaanilistalle muutaman epäonnistuneen yrityksen jälkeen ok? Saako Win 10 Fail2ban tapaista ohjelmaa?
 
Olisiko yksi vaihtoehto ostaa staattinen ip ja sallia vain se? Luulisi myös ip:n heittäminen automaattisesti banaanilistalle muutaman epäonnistuneen yrityksen jälkeen ok? Saako Win 10 Fail2ban tapaista ohjelmaa?
Kiinteä ip vaikuttaisi vaativan yrityslaajakaistaliittymän, jollaisesta ei raaskisi maksaa, mutta toista ideaasi taidan hyödyntää. IPBAN lähtee testiin :thumbsup:
 

Statistiikka

Viestiketjuista
258 431
Viestejä
4 490 821
Jäsenet
74 157
Uusin jäsen
mursu-90

Hinta.fi

Back
Ylös Bottom