Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
1912 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Redirection 3389 vers un poste

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Redirection 3389 vers un poste

n°153566
aken84
Posté le 25-04-2018 à 14:47:49  profilanswer
 

Bonjour,
 
Dans une petite entreprise (10 postes + 1 serveur Windows Server 2016), j'ai un switch avec une Livebox pro V4 dessus.
Le DHCP est géré par le serveur et désactivé sur la Livebox.
L'IP du serveur est 192.168.1.5.
 
J'ai créé une redirection NAT sur le port 3389 depuis une adresse IP externe vers un poste 192.168.1.209.
 
Le bureau à distance fonctionne bien sur ce poste en interne.
 
Quand je me connecte depuis l'extérieur (la fameuse IP externe), au lieu d'arriver sur le bureau du poste (192.168.1.209), j'arrive sur le serveur (192.168.1.5).
 
Est-ce que vous auriez une idée d'où cela pourrait venir ?


Message édité par aken84 le 25-04-2018 à 15:19:18
mood
Publicité
Posté le 25-04-2018 à 14:47:49  profilanswer
 

n°153568
dims
if it ain't brocken, mod it !
Posté le 25-04-2018 à 14:54:56  profilanswer
 

Bonjour,
 
le serveur ne serait pas en DMZ de la box des fois ?

n°153569
aken84
Posté le 25-04-2018 à 15:01:07  profilanswer
 

Non pas de DMZ

n°153570
Je@nb
Modérateur
Kindly give dime
Posté le 25-04-2018 à 16:04:45  profilanswer
 

montre la config de la LB peut être

n°153573
aken84
Posté le 25-04-2018 à 16:38:37  profilanswer
 

Voici la config :
 
En fait j'ai deux redirections NAT depuis 2 IP différentes même sur le même port.
C'est la deuxième qui ne fonctionne pas comme voulue, elle ne renvoie pas sur 192.168.1.209 mais sur 192.168.1.5.
Après je sais pas si c'est à ce niveau le problème où si c'est une sécurité sur Windows qui renvoie sur le serveur...
 
http://www.napsys.fr//Medias/Skin/Medias/capture.jpg?m=180425143439
 

n°153577
Je@nb
Modérateur
Kindly give dime
Posté le 25-04-2018 à 16:50:38  profilanswer
 

j'aurai tendance à dire que tu peux pas avoir 2 fois la même règle avec le même port

n°153578
aken84
Posté le 25-04-2018 à 16:53:54  profilanswer
 

Oui je pensais à ça aussi, que ça ne tienne pas compte de l'IP source.
Je vais essayer d'avoir des ports différents.

n°153581
dims
if it ain't brocken, mod it !
Posté le 25-04-2018 à 17:52:03  profilanswer
 

en passant, tu es conscient qu'ouvrir le RDP sur le web c'est suicidaire ?
vu qu'apparemment il ne tiens pas compte de l'IP autorisée, n'importe qui peut essayer de se connecter !

n°153583
nex84
Dura lex, sed lex
Posté le 25-04-2018 à 17:57:07  profilanswer
 

+1 : hors d'un tunnel VPN de confiance, c'est du suicide.
Ce genre de ports (avec VNC et autres) sont les premiers à être testés par les pirates.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°153585
eusebius
Posté le 25-04-2018 à 18:02:19  profilanswer
 

dims a écrit :

vu qu'apparemment il ne tiens pas compte de l'IP autorisée, n'importe qui peut essayer de se connecter !


 
La LB peut être capable de filtrer l'accès en fonction de l'IP mais pas forcément d'appliquer une redirection différente selon l'IP.
 
La config donnée ci-dessus pourrait autoriser seulement les 2 IPs listées mais toujours renvoyer vers 192.168.1.5.
 
Il ne faut pas oublier que c'est une livebox. Je n'ai jamais testé la V4 mais la V3 était assez désastreuse.
 
A+
 
PS : Dans tous les cas ouvrir directement le port RDP n'est pas une bonne idée.


Message édité par eusebius le 25-04-2018 à 18:03:02
mood
Publicité
Posté le 25-04-2018 à 18:02:19  profilanswer
 

n°153586
clockover
That's the life
Posté le 25-04-2018 à 18:16:04  profilanswer
 

Suicide faut pas exagérer.  
Pas génial/pas recommandé oui.

n°153593
nex84
Dura lex, sed lex
Posté le 26-04-2018 à 09:15:32  profilanswer
 

clockover a écrit :

Suicide faut pas exagérer.
Pas génial/pas recommandé oui.


Dans un contexte pro, ça s'appelle du suicide.
On ne laisse pas sciemment une porte ouverte comme celle la. Ce n'est pas professionnel et ça met en risque les données de l'entreprise (voir de son activité, tout simplement).

Message cité 2 fois
Message édité par nex84 le 26-04-2018 à 09:16:06

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°153597
clockover
That's the life
Posté le 26-04-2018 à 09:59:51  profilanswer
 

nex84 a écrit :


Dans un contexte pro, ça s'appelle du suicide.
On ne laisse pas sciemment une porte ouverte comme celle la. Ce n'est pas professionnel et ça met en risque les données de l'entreprise (voir de son activité, tout simplement).


 
La réalité du terrain est bien différente, j'en vois un paquet des RDP ouverts en direct sans aucun soucis. (Et pas forcément sur du Windows à jour :lol:)
 
Je ne vois pas en quoi c'est plus du suicide qu'un Outlook Web Access en direct ou même une Gateway RDS.  
Dans tous les cas tu dépends de la force de ton couple d'identifiant mais surtout de la couche logicielle qui répond.

n°153598
dims
if it ain't brocken, mod it !
Posté le 26-04-2018 à 10:05:45  profilanswer
 

certaines failles sur le RDP permettaient de pousser des virus/crypto par le RDP sans nécessiter d'authentification.
 
donc tu as beau avoir des mot de passe de 64 caractères, idem pour le login, yen a pour quelques secondes a de faire tomber l'infra si ya pas le bon patch déployé ;)

n°153601
Je@nb
Modérateur
Kindly give dime
Posté le 26-04-2018 à 10:44:12  profilanswer
 

Tu as les CVE correspondants ? Ca m'intéresserait pour des clients un peu foufou

n°153602
dims
if it ain't brocken, mod it !
Posté le 26-04-2018 à 10:48:47  profilanswer
 

faut que je fouille, ça remonte a un bout de temps (plusieurs années)
la faille qui me viens a l'idée était pour XP/vista/7/2k3/2k8/


Message édité par dims le 26-04-2018 à 10:49:19
n°153603
ShonGail
En phase de calmitude ...
Posté le 26-04-2018 à 10:56:07  profilanswer
 

nex84 a écrit :


Dans un contexte pro, ça s'appelle du suicide.
On ne laisse pas sciemment une porte ouverte comme celle la. Ce n'est pas professionnel et ça met en risque les données de l'entreprise (voir de son activité, tout simplement).

 

Si tu filtres sur l'IP source et que tu changes en plus le port par défaut, il se pourrait qu'au final ce soit plus secure que pas mal de VPN :o

Message cité 2 fois
Message édité par ShonGail le 26-04-2018 à 11:07:17
n°153604
dims
if it ain't brocken, mod it !
Posté le 26-04-2018 à 10:57:49  profilanswer
 

Je@nb a écrit :

Tu as les CVE correspondants ? Ca m'intéresserait pour des clients un peu foufou


celle la par exemple: https://docs.microsoft.com/fr-fr/se [...] 2/ms12-020

n°153605
nex84
Dura lex, sed lex
Posté le 26-04-2018 à 11:08:44  profilanswer
 

ShonGail a écrit :


 
Si tu filtres sur l'IP source et que tu changes en plus le port par défaut, il se pourrait qu'au final ce soit plus secure que pas mal de VPN :o


C'est un paliatif, mais ce n'est pas l'idéal.
Mais en aucun cas ça ne doit être open bar.
 
Ps : je parlais d'un VPN monté en interne, et non un service de VPN tiers.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°153606
ShonGail
En phase de calmitude ...
Posté le 26-04-2018 à 11:16:37  profilanswer
 

Ne pas avoir un RDS ouvert sur le port par défaut, je suis OK.
Mais sur un autre port et surtout avec filtrage de l'IP source, le risque devient quasi nul.
En tous cas équivalent ou en deçà de pas mal de solutions VPN non MAJ et qui présente des failles.

n°153607
Je@nb
Modérateur
Kindly give dime
Posté le 26-04-2018 à 11:19:13  profilanswer
 


 :jap: thx !
 
Après dans Azure je fais du JIT access sur les vm et on prem je fais souvent des mécanismes de port knocking

n°153611
dims
if it ain't brocken, mod it !
Posté le 26-04-2018 à 11:35:53  profilanswer
 

ShonGail a écrit :


 
Si tu filtres sur l'IP source et que tu changes en plus le port par défaut, il se pourrait qu'au final ce soir plus secure que pas mal de VPN :o


je suis plutôt d'accord, mais changer le port, ça ne fera que ralentir (les kikoulol ne scanneront que le 3389, les vrai hacker feront un nmap sur l'IP pour voir les ports qui répondent et le service associé)
le filtrage de port source sur une livebox ??? euh..... ;) (je dis pas que ça marche pas, juste qu'on doit pouvoir trouver mieux qu'une livebox comme firewall)

n°153613
ShonGail
En phase de calmitude ...
Posté le 26-04-2018 à 11:48:49  profilanswer
 

Oui enfin des pirates qui vont s'attarder sur ton IP, c'est qu'ils te visent spécifiquement.
A partir de là, il va falloir sécuriser tout ce qui est accessible, du routeur lui-même aux matériels vers lesquels des flux sont redirigés.
Je ne dis pas que le risque n’existe pas mais il faut le relativiser pour la grosse majorité des entreprises dont le nombre important et le peu d'intérêt stratégique et financier les met à l'abri.
Au final il en va comme de sécuriser ses locaux physiquement. Une porte blindée, une serrure correcte, OK.
Mais va t'on, sous prétexte que le risque existe, préconiser à la TPE/PME qu'il faut aussi renforcer les murs et la toiture, des gardes H24, des badges nominatifs, de la vidéo, des enquêtes sur les salariés, etc.

 

Sur la Livebox, j'imagine que ça tourne sous Linux avec un iptable, non ?
A partir de là, pas de raison de moins lui faire confiance sur cette partie.
Après c'est sûr que je n'irai pas préconiser une Livebox face à un fortigate par exemple. Ce n'est pas les mêmes fonctions, le même soin apporté au firmware, ni le même support.
Bon après ce n'est pas le même prix non plus :o


Message édité par ShonGail le 26-04-2018 à 11:49:25
n°153619
clockover
That's the life
Posté le 26-04-2018 à 13:45:20  profilanswer
 

dims a écrit :

certaines failles sur le RDP permettaient de pousser des virus/crypto par le RDP sans nécessiter d'authentification.
 
donc tu as beau avoir des mot de passe de 64 caractères, idem pour le login, yen a pour quelques secondes a de faire tomber l'infra si ya pas le bon patch déployé ;)


C'est ce que je dis tu dépends de la couche logicielle qui répond ;)

n°163092
dims
if it ain't brocken, mod it !
Posté le 15-05-2019 à 10:59:33  profilanswer
 

dims a écrit :

certaines failles sur le RDP permettaient de pousser des virus/crypto par le RDP sans nécessiter d'authentification.

 

donc tu as beau avoir des mot de passe de 64 caractères, idem pour le login, yen a pour quelques secondes a de faire tomber l'infra si ya pas le bon patch déployé ;)

  

et une nouvelle !!
(désolé du déterrage mais vu qu'on en parlait ici…)
https://portal.msrc.microsoft.com/e [...] -2019-0708
Win7/2k8/2k8R2 sont bouchés par le tuesday patch d'hier

 

2k3/XP sont aussi impactés, les patch sont dispo sur le catalogue WU
https://support.microsoft.com/en-us [...] -2019-0708

 

donc a patcher rapidement pour les inconscients qui auraient du RDP exposés sur le net !!!!


Message édité par dims le 15-05-2019 à 11:00:31
n°163116
antoincy
Posté le 15-05-2019 à 19:32:13  profilanswer
 

clockover a écrit :


 
La réalité du terrain est bien différente, j'en vois un paquet des RDP ouverts en direct sans aucun soucis. (Et pas forcément sur du Windows à jour :lol:)
 
Je ne vois pas en quoi c'est plus du suicide qu'un Outlook Web Access en direct ou même une Gateway RDS.  
Dans tous les cas tu dépends de la force de ton couple d'identifiant mais surtout de la couche logicielle qui répond.


quand j’ai mis le pied dans l’infra d’une de mes structures, y avait un serveur d’appli hébergé à l’extérieur dont le 3389 était ouvert en direct sur l’IP publique
 
je peux te dire que chaque minute j’avais des tentatives de connexions dans les logs
la première chose que j’ai fait a été de réactiver le pare feu (oui vous lisez bien...) et lancé Windows Update qui était désactivé.
 
cela a tenu comme ça quelques mois, je surveillais tous les jours et j’avais installé un soft pour cela : RDP Defender. Il bloquait les IP au bout de x tentatives échouées.  
 
Bref, mnt je suis derrière une RD Gateway et je dors sur mes deux oreilles......

n°163119
clockover
That's the life
Posté le 16-05-2019 à 05:24:12  profilanswer
 

Bien sûr qu'il y a des tentatives en rafale. C'est valable quel que soit le service en écoute.
Je disais juste que du RDP ouvert sur l'extérieur c'est pas si rare.

Message cité 1 fois
Message édité par clockover le 16-05-2019 à 05:25:13
n°163122
nex84
Dura lex, sed lex
Posté le 16-05-2019 à 09:12:16  profilanswer
 

clockover a écrit :

Bien sûr qu'il y a des tentatives en rafale. C'est valable quel que soit le service en écoute.
Je disais juste que du RDP ouvert sur l'extérieur c'est pas si rare.


C'est pas parce que pleins de gens font de la merde que c'est une bonne idée.
Le RDP est l'un des ports les plus visés, et ce n'est pas sans impact sur le traffic et donc potentiellement la capacité à rendre le service.
Surtout que c'est un protocole dont les failles sont très largement scrutées (et pas que pour faire le bien...) car il est très pratique pour entrer dans les systèmes.
https://blog.xmco.fr/freerdp-rdeskt [...] -distance/


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°163126
clockover
That's the life
Posté le 16-05-2019 à 10:03:29  profilanswer
 

Ce n'est pas non plus ce que j'ai dit.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Redirection 3389 vers un poste

 

Sujets relatifs
Migration de VM d'un datastore vers un autreIIS7 redirection URL externe vers serveur interne
Licensing : Windows 7 pro vers 10, légal ou pas ?Info Migration de mail Gandi vers office365 [Résolu]
Poste de travail pour environnement tres durFaire suivre les messages centreon vers logstash
Migration VM ESX4 vers ESX6Processeur pour PC portable poste travail
Serveur Kimsufi : migrer les données vers une autre offre 
Plus de sujets relatifs à : Redirection 3389 vers un poste


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR