Re: Zdalny dostep do komputera

Dnia Tue, 12 May 2009 23:29:58 +0200, Konrad Kosmowski napisał(a):

> ** Michal Kawecki <kkwinto@o2.px> wrote:
>
>>> Zgadzam się, tylko nie wystawiałbym RDP do Internetu (VNC tym bardziej). O
>>> to chodzi.
>
>> Czy ja wiem... niestandardowy port usługi,
>
> No duży LoL...
>
>> nietypowe nazwy kont administracyjnych,
>
> Dobra praktyka ale obroni Cię jedynie przed atakami zautomatyzowanymi, które i
> tak walą w client security.
>
>> dobre długie hasła, blokada konta po 3 nieudanych próbach na minimum 5
>> minut...
>
> Tak wypada ale nie o to chodzi - tzn. nie to zabezpieczenie będzie atakowane.
>
>> trzeba mieć bardzo dużo czasu, żeby to złamać.
>
> Tzn. aby "złamać" tajny port wystarczy być gdzieś pomiędzy ew. walić na ślepo.
> Już sensowniej byłoby chyba dopuszczać z konkretnego IP niż zaciemniać port.

Ale puszczanie z konkretnego IP właściwie eliminuje uniwersalność
dostępu. A pukanie po portach na ślepo wymaga sporej ilości czasu,
trzeba by się zasadzić na konkretną maszynę z konkretnym zleceniem. No a
potem dłuuugo szukać prawidłowych poświadczeń...
 
> Z tego co wymieniłeś nic nie trzeba łamać - właśnie w tym problem. Przy ataku
> MITM nie ma znaczenia na jakim porcie sobie odpalisz (jakby to jakaś tajemnica
> była), nie ma również znaczenia jak się uwierzytelniasz.
>
> RPD jest OK, ale wypada go puścić przez tunel jak masz zamiar używać via
> Internet.

Atak MITM? LOL! :-). Nie rozmawiamy o zabezpieczeniach sieci
korporacyjnej tylko o zwykłej biednej maszynce domowej ;-). Bez
przesady.... Oczywiście, dobrze że to napisałeś, niech właściciel
komputera podejmuje decyzję po świadomym skalkulowaniu ewentualnego
ryzyka. Ale trochę mnie rozbawiłeś, zwłaszcza jak sobie pomyślę o naszej
sieci osiedlowej zawieszonej w eterze bez żadnego szyfrowania :-).
Słabości RDP to przy tym mały pikuś.

-- 
M.   [Windows Desktop Experience MVP]
/odpowiadając na priv zmień px na pl/
https://mvp.support.microsoft.com/profile/Michal.Kawecki