Безопасность удалённого доступа: почему RDP и VNC уступают современным решениям

[0xC0CAC01A]

Вопрос в тему: работающие приложения удалённого доступа к андроиду так и не появились? Человечество утратило знание как писать сервера удалённого доступа?

[Shaman_RSHU]

Про это https://github.com/Genymobile/scrcpy ?

[Cyber_Griffin]

Тестил RuDesktop и Ассистент, они работают с Android, но с ограничениями:

В Ассистенте есть только просмотр экрана и передача файлов и он требует ручного подтверждения доступа, в RuDesktop ситуация получше, но как и Ассистенте без root нет полного управления

[ajijiadduh]

anydesk разве не умеет?

[Cyber_Griffin]

Если речь идет о корпоративном УД как с ним быть?

[romin1952]

Возможно как вариант , локальный rustdesk . Но опять же это нужно из вне настраивать клиентам и пароли от учеток нигде не хранятся , только ручками вписывать

[tatar221]

Он после нескольких подключений денег просит. Полдня сидел настраивал на двух компах и на телефоне. На следующий день отказался подключаться - говорит "дай денег". Компы личные, тел личный.

[ilkman]

В чем проблема почистить нудные папки и продолжить работать?

[tatar221]

В критических ситуациях юзаю Chrome Remote Desktop. Меня спасает

[4kirill20]

+, жаль что меню выпадающее сверху как в AnyDesk в бок не перетащить

[m0tral]

Microsoft Remote Desktop существует много лет, Windows App сейчас

[gravitos]

RustDesk (доступно в F-Droid) поддерживает управление телефоном через Accessibility API, должно работать в любой ситуации.

[MA_TE]

droidVNC-NG

[JBFW]

Первое же очевидное решение - ВПН до сервера и работа по rdp внутри безопасного канала.

Это будет лучше чем любое новое закрытое "решение", а накладные расходы на шифрование все равно будут, хоть на транспортном уровне, хоть внутри этого самого решения.

Ах да, ещё требования регуляторов: они могут запретить не-гост, например, или ВПН как таковые...

[Cyber_Griffin]

VPN + RDP — рабочая схема, но она требует сложной настройки безопасности на нескольких уровнях.

И как вы сами сказали, требования регуляторов сейчас требуют решения из "коробки" которые соответствуют требованиям, после Аэрофлота и Неофарма ситуация стала еще острее, теперь для госников или холдингов, лучший расклад если не придется переплачивать вендору за серт ФСТЭКа

[JBFW]

Настройка безопасности там одна - ВПН канал, его можно вообще на смарт-токенах сделать и тогда никто без токена не пролезет.

А вот некая новая программа - это новые дыры, о которых ещё не узнал )

Так что тут вопрос не в безопасности, а в продаже этого самого "решения" под соусом безопасности и импортозамещения.

[Spyman]

Для подключения точка - точка - впн - безопасное решение. Но вот если это целая корпоративная сеть, куда много чего подключено - то безопасность резко падает. Надо это учитывать)

[JBFW]

Да ладно?

Чем подключение "командированный Вася заходит на сервер ГК из Магадана" отличается от "бухгалтерия у нас работает с 1С удаленно"?

Мы не говорим про случай, когда ВПН даёт просто доступ в локалку, в которой терминальный сервер, файлопомойка, рабочие станции с расшаренными дисками c$, сетевые принтеры и прочее такое же.

[Spyman]

У нас получается парк устройств, которые потенциально скомпрометированы и слабо контролируются. Хотя я согласен, что идеально разделив доступы и настроив ограничения - можно получить очень хороший уровень безопасности. Из тех атак, методы проведения которых я видел - находим сотрудника с уязвимым софтом или головой, утягиваем у него доступы в впн, сканируем все ПК/устройства внутри сети, ищем уязвимые для повышения привелегий или проведения атаки с их помощью дальше, и так - пока не натворил делов.

Вот если у нас уязвимый сервер, защищённый впн, но все на него ходят - то первым шагом ломается сотрудник, вторым сервер, а третьим - сотрудники которые с ним взаимодействуют с высокими привелегиями.

P.s. я как бы поводу того, что это ВПН лучше - чем непонятная программа, особенно проприетарная - с вами тем не менее полностью согласен)

[AlexKMK]

Mrvpn2 с openid

Rdp для виндовых серверов, nomachine для линукса.

Если на сервер поставить какую нибудь p40/t4 то вообще будет красота по производительности. Хоть етуб в 4к смотри удалённо.

Авторизация как нравится - сертификаты, ключи, пароли, хоть 2fa и ipsec

15 лет полет отличный. Даже в РФ

С настройками проблем никаких вообще..mrvpn2 катится плейбуком за 10 минут.

Nomachine и rdp разворачиваются за час-два с толковыми настройками.

Devolutions поддерживает 2fa из коробки.

[Danila13]

А есть гайд, прям для чайников ?

[fcoder]

Я перепробовал десятки разных тулов удалённого подключения и не нашёл ничего даже отдалённо похожего на RDP.

С точки зрения юзабилити там чаще всего там проблемы с пробросом оборудования на хост, поддержки мониторов, горячих клавиш и буфера обмена. В родном виндовом стеке можно делать ctrl+c/ctrl+v на текст, выделенную картинку или файл. Она сразу понимает какие у меня мониторы и микрофон. Win+буква работает корректно в удалённой системе, а не бесит перепрыгиванием в домашнюю. Почему так сложно поддержать совсем базовый UX? Или "разработчики" подобных систем неспособны собрать минимальный набор требований?

С точки зрения безопасности, часто исходники закрыты, а серверная часть требует связи с материнским кораблём. Это для меня абсолютно дисквалифицирующий фактор. О какой безопасности можно говорить вообще?

[kenomimi]

Для частного использования Spice работает отлично - 2-3 FHD экрана, и на 4G модеме оно почти не лагает, разве что видео рывками показывает. Пользуюсь уже несколько лет, очень доволен. У него защита никакая, но стандарт отрасли - ipsec (или иной впн), а уже внутри все сервисы, так что не критично.

А вот для многопользовательской терминальной фермы кроме rdp ничего как-то и не завезли. Или анально-закрытое облачное с приличной вероятностью взлома со стороны вендора (сломают облако - считай сломают всех клиентов разом), или решения за миллиарды (которые еще и не работают хорошо без постоянной поддержки вендора), или тормозящие наколенные поделки.

[Al_Tar]

Spice за собой тянет KVM : по нему Вы только к ВМ под KVM afaik можете получить. А если в инфре другой гипервизор ,или удаленная машина - физическая?

[AlexKMK]

Nomachine хорош, но OLE клипборда нет.

[Shaman_RSHU]

Думал, что проблема преувеличена, но потом с помощью shodan.io увидел, что открытых в Интернет RDP портов - 3,110,255

[Spyman]

Ну ssh портов открытых в интернете скорее всего ещё больше - но это же не значит, что они все уязвимы)

[Evgenym]

Современные решения - это какие конкретно?

[drnorfolk]

Вот тоже об этом подумал! Хоть бы какое-то упоминание в статье...

[seriouskaktus]

Какой смысл в этой сгенерированной чатгпт статье? Сказать, что нативные протоколы небезопасны и поголовно переходите на проприетарные anydesk?

[muhamuha]

"прогрев аудитории" добрался до хабра? :)

[dimsoft]

Никто не догонит rdp на windows по скорости, т.к ему не надо ждать всей картинки и потом её сживать и передавать.

[edst_land_ru]

RDP + Wireguard = быстро и надежно.

Помнится, до того, как я познал WireGuard VPN, был сильно удивлен, как жестко долбятся боты в открытый RDP. Перевешивать его с 3389 порта на другой смысла никакого. Только в связке с VPN

А внутри сети - TightVNC с жесткими правилами доступа

[JBFW]

Тут проблема другого плана: упомянутые "регуляторы" уже зарегулировали Wireguard, чтобы люди их запреты не обходили - поэтому придется искать другие варианты.
Но направление поисков верное...

[edst_land_ru]

На этот случай есть процедура внесения IP в белый список, я не поленился и внес, и вроде пока регуляторы меня не блокируют.

[Black_Spirit]

Несколько лет есть в аренде vps с windows server. Ничем не прикрытым 3389 открыт в интернет. Хотя ничего критичного на сервере не запущено, но пока не взломали.

Да, для чего-то более серьезного у меня свой способ защиты rdp.

[Bagatur]

SSL VPN до DMZ (ipsec, увы, нередко банят, а в некоторых странах типа ОАЭ можно и огрести), в DMZ терминальник с доменной аутентификацией+ MultiOTP, с этого терминальника уже в интранет.

[JBFW]

А вот тут отвечу, почему какая-нибудь крупная компания предпочтет купить проприетарное, вместо этой работающей схемы:

Во-первых, ответственность. Если что-то пойдет не так - нужно будет не своего сисадмина по заднице бить, а выкатить претензию вендору, с компенсациями.

Во-вторых, техподдержка: опять же, вместо толкового сисадмина - договор с поставщиком решения, все проблемы на него, и если что-то пойдет не так см.п.1

Ну ещё и локальный закупщик может подарки от вендоров получать, маркетологи на сотрудничество будут ссылаться, безопасники с себя всю ответственность скинут, вот это всё

[Bagatur]

Да, это всё знакомо. И упомянутые риски использования опенсорса никто не отменял. Однако же упомянутую рабочую связку наблюдал в одной достаточно крупной финансовой компании, и там оно в определённой степени оправдано (используется, в-основном, для выполнения задач в нерабочее время), в случае выхода этой связки из строя максимум придётся доставить свою тушку в офис. Однако, с точки зрения именно ИБ, такая конструкция значительно устойчивее к попыткам НСД, нежели тупо открытый "наружу" RDP.

И да. Для задач, требующих надёжного предоставления удалённого доступа как постоянного внутрикорпоративного сервиса, мы таки используем энтерпрайз продукт, но у нас и возлагаемые на него задачи посерьёзнее.

[AndrewTishkin]

Кхм. Два ощущения.

Первое - пиво закончилось и статья прервалась так нормально и не начавшись.

Второе - вроде судя по анекдотам профиля автор суровый дядечка, но по тексту какой-то зелёный стажёр.

Не так давно не смог зайти на виндовый сервер. Грешил на провайдеров, но трассировка обрывалась на входе в ДЦ. Потом вспомнил, что уже несколько лет там работает простой скрипт: он считает виндовые события журнала о неуспешных попытках входа и вносит айпишник в чёрный список системного брандмауэра.

Максимально просто и эффективно. Плюс можно нагуглить ещё некоторые настройки винды, уменьшающие вероятность стороннего проникновения. В качестве резервного способа входа на машинке настроен гугловский ремонт десктоп. Так что проблема с RDP походу высосана не знаю даже из чего - нечего там сосать. А в плане эффективности работы на самом жопном интернете это реально хороший протокол.

[Bagatur]

Ключевое - "не смог зайти на (свой) виндовый сервер". Прямо отличный пример решения задачи.

А скрипт, считающий фэйлы аутентификации и вносящий IP источника в бан-лист, умеет делать обратное (выносить из бан-листа через н-ное время)?

[kuragami]

Возможно здесь найду ответ: rdp через ms gateway, на котором нужно получить ответ от мобильного приложения. Вообще не получается подключиться на linux (remmina, freerdp и все такое). Клиент не ждёт ответа от gateway и пытается пройти дальше. Все возможные настройки (транспорт, таймауты, сертификаты) - мимо. В win работает только начиная с win10. Приходится запускать виртуалку, что кажется overkill. Может кто сталкивался?