Поддержка
Центр поддержки
Авторизация
Remote Administrator - это программа, предназначенная для управления удаленными компьютерами. Изображение с экрана удаленного компьютера передается на экран локального, а все манипуляции мышью и ввод с клавиатуры передаются на удаленный компьютер
BYTE, июнь 2005 г.

Рассылка

Как максимально обезопасить Radmin Server?

 

Поиск  Правила 
Закрыть
Логин::
Пароль::
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Как максимально обезопасить Radmin Server?, Несколько советов
 
Преамбула: Всё началось с выставки, на которой мне подарили чудесный магнит с символикой Radmin. После этого заинтересовался программой, скачал триал, на то время - 3.2. версия, и понял, что в неумелых руках - это опасное оружие, а в умелых - гибкий и эффективный инструмент для решения широкого круга задач.

Амбула:
Права доступа Radmin, который подразумевает некоторые неудобства, а именно постоянный ввод пароля при подключении. Почему так сделано - написано здесь:
http://www.radmin.ru/support/kb/index.php?ID=4386
Кому лень/не помнит пароль - можно выбрать Windows NT, но я описываю способ максимально обезопасить работу с программой. Заострять внимание на этом не будем, т.к. статья описывает всё чётко и ясно.
Права доступа: Тут каждый выбирает по задачам. Тем самым мы следуем правилу: Каждый имеет столько, сколько ему положено иметь для выполнения своих обязанностей.
От себя добавлю, что на просторах интернета есть сканеры и брутфорсеры для серверов Радмина. Судя по описанию версии 3.x. в ней есть защита от перебора, и прочие прелести, но лучше перестраховатся, и указать Логин и Пароль максимально соответствующий требованиям безопасности.
Настройки: Тут уже интереснее, только потому, что меняя дефолтные настройки на свои, мы уже повышаем безопасность. Объясняю, пока я имел прямой выход в интернет, в логах радмина я постонно видел, что с разных IP адресов ко мне пытаются подключится, выглядело это примерно так:

Цитата
<468176> RServer3 2009.07.01 08:13
(87.124.10.4) (administrator): Password is incorrect or error occurs
<468176> RServer3 2009.07.01 08:13
(87.124.10.4) connection closed

К сожалению, оригинальных логов не сохранилось, т.к. они были мною стёрты, поэтому я смоделировал похожую ситуацию. А именно: Незнамо каким образом, мой радмин сервер находили и пытались подключится по наиболее часто используемым логинам/паролям. В данном случае злоумышленник ввёл логин administrator. Вот почему я писал выше, зачем надо создавать замысловатые логин/пароль.
После изучения логов, я понял, что рано или поздно, они смогут подобрать пароль, поэтому я поспешил его смненить, и сменить логин.

Однако такие "попытки" подключится продолжились. Зайдя в настройки, я выставил фильтрацию по IP адресу, которая увеличивает защиту от сторонних подключений, даже если будет указан верный логин/пароль. После этого логи стали иметь вид:

Цитата
<912> RServer3 2009.01.05 02:21 Connection from 154.24.84.5 was closed because of FilterIp restrictions

Тем самым, даже введя верный логин/парль злоумышленние не сможет получить доступ, т.к. его IP не совпадает с IP, который находится в списке разрешённых.

Однако, сама попытка ко мне подключится, вызывает настороженность, поэтому немного почитав глобальную сеть, я пришёл к выводу, что следует изменить порт, к которому подключается клиент. Тем самым, мы сводим на нет сканы сети, где указан дефолтный порт радмин-сервера. И после смены порта, в логах перестали появлятся попытки неудачных подключений, с абсолютно "левых" IP адресов.

Если вы не используете какие-то режимы управления, например полный доступ и передача файлов, то в настройках можно отключить возможность их использования. Да, да, то самое правило: Каждому возможности по потребностям.

В общем-то самыми главными настройками являются фильтр по IP, смена порта на любой другой, и отключение тех режимов доступа, которые не используются.

Единственное дополнение: Никогда нельзя исключать человеческий фактор. С помощью обмана, однако нынче его модно называть Социальной Инженерией (да и вся психология в целом) можно вынудить пользователя добровольно сделать то, что скажите Вы. Наверно как раз для таких случаев и написали эту статью: http://www.radmin.ru/support/kb/index.php?ID=4382

Если кто-то может дополнить или раскритиковать способы защиты - буду рад услышать = )
Невозможно - это всего лишь громкое слово, за которым прячутся маленькие люди. Победа начинается на тренировках © Н.Е.
 
Здравствуйте,
Цитата
После изучения логов, я понял, что рано или поздно, они смогут подобрать пароль, поэтому я поспешил его смненить, и сменить логин.
Нет, не смогут. Сделайте достаточно адекватный 6-8 символьный пароль (случайный набор букв и цифр) и можете не беспокоиться. Защита от брутфорса в Радмине достаточно эффективна, за ближайшие несколько тысяч лет не подберут.
 
У меня нет полномочий разглашать подробности системы защиты Радмина, кроме указанных здесь: http://www.radmin.ru/support/kb/index.php?ID=2956
 
Существует ли какая-то лазейка в системе безопасности, которую знают только сотрудники компании? Что-то типа "универсального ключа" или уязвимость, позволяющая легко получить доступ.

Наверняка такие вопросы беспокоят многих, особенно сотрудников службы безопасности крупных компаний.

Это, на мой взгляд, самый главный "человеческий фактор". Тем более, Россия, своеобразная страна.

Есть что-то такое или нет?

Спасибо.
Изменено: Alexis Petrenko - 17.04.2010 14:53:06
 
Нет конечно.
 
В Radmin Server нет возможности выбора с какого соединения принимать подключение. Т. е. если у вас 3 сетевые карты, то подключиться к Radmin Server можно со всех трех, это не есть хорошо. Возможность выбора сетевого подключения + VPN разом решило бы проблему с "левыми" попытками подключения и необходимостью "мудрить" с настройками. (Это предложение разработчикам)
Изменено: Вениамин Хозяинов - 10.05.2010 12:10:00
 
Цитата
Вениамин Хозяинов пишет:
если у вас 3 сетевые карты, то подключиться к Radmin Server можно со всех трех, это не есть хорошо
Поскольку каждая карта имеет собственный диапазон адресов, эта задача прекрасно и однозначно решается в рамках IP-фильтра. Более того, IP-фильтр намного гибче.

Вот мне, к примеру, нужна полная прозрачность в пределах внутренней локалки, а извне чтобы пробиться -- только с двух фиксированных адресов. Если запретить вообще интерфейс, смотрящий в Инет, я этого не смогу сделать. А так -- я описал весь IP-диапазон внутренней сети, добавил два адреса наружных -- и вот оно, желаемое.
 
Цитата
Данила Икрянников пишет:
Вот мне, к примеру, нужна полная прозрачность в пределах внутренней локалки, а извне чтобы пробиться -- только с двух фиксированных адресов. Если запретить вообще интерфейс, смотрящий в Инет, я этого не смогу сделать. А так -- я описал весь IP-диапазон внутренней сети, добавил два адреса наружных -- и вот оно, желаемое.

У меня сейчас так и сделано: подключение к Radmin по VPN + IP фильтр.
А если IP динамический и не используется VPN? Фильтрация имеет смысл только при статическом IP (фильтр по диапазону только делает "дыру" меньше, это нам не подходит). И зачем запрещать интерфейс? Нужно отключить прослушку на порту, а не запрещать (т. е. Radmin Server не будет "слушать" порт там где вам это не нужно).

Для чего это: во первых не будет известно что у вас вообще установлен Radmin Server (так как нет открытого порта), во вторых не надо будет "заморачиваться" с IP фильтрацией, однако она будет доступна при необходимости. В третьих таким образом можно добиться "параноидальной" безопасности: VPN + прослушивание порта сервером только на VPN соединении + IP фильтр. Для полных маньяков можно было бы добавить еще и MAС фильтр.
Изменено: Вениамин Хозяинов - 11.05.2010 04:35:39
 
Сделайте пароль 16 символов :)
 
Тут вопрос не в том, смогут подобрать пароль или нет, это психологически не приятно, когда знаешь что к твоей двери есть доступ и в неё постоянно кто-то "скребет". Даже гипотетическая возможность подобраться к "двери" хотя бы с одного "левого" IP не дает покоя таким "параноикам" как я. :)

Сейчас, раз уж тема у нас такая, максимальной безопасности можно добиться так: подключение через VPN + IP фильтрация + блокировка порта на всех интерфейсах, кроме нужного нам, фаерволом. А изменение стандартных настроек - это не наш метод. :)
 
Цитата
Вениамин Хозяинов пишет:
Для чего это: во первых не будет известно что у вас вообще установлен Radmin Server (так как нет открытого порта)
А его и нету для тех, кто по IP-фильтру не подходит. Какая разница, что он слушает, если в ответ -- молчок? То же самое делает любой файрвол. Слушает, но молчит, если условия не совпадают.
Цитата
Вениамин Хозяинов пишет:
Тут вопрос не в том, смогут подобрать пароль или нет, это психологически не приятно, когда знаешь что к твоей двери есть доступ и в неё постоянно кто-то "скребет". Даже гипотетическая возможность подобраться к "двери" хотя бы с одного "левого" IP не дает покоя таким "параноикам" как я
А Вы думаете, как порты запрещают? Пакет (в том числе и гипотетически опасный пакет, в том числе и откровенно опасный пакет) анализируется, и, если надо, игнорируется. Он в любом случае приходит по Вашим проводам на Ваш разъём. Вас это не пугает?

Цитата
Вениамин Хозяинов пишет:
А изменение стандартных настроек - это не наш метод.
Я не понял, вы что, хотите добиться максимальной безопасности, не меняя настроек? Или рулить безопасностью, не зная диапазонов, назначенных интерфейсам?

То, что Вы предложили выше ("Возможность выбора сетевого подключения + VPN"), реализуется имеющимися инструментами. Разрешить интерфейс = разрешить соответствующий диапазон адресов. Запретить интерфейс = не разрешать его диапазон.

Вы много рассказали о недостатках IP-фильтрации при динамическом распределении адресов, но ранее предложенные Вами изменения этот недостаток никоим образом не решают. И их в любом случае невозможно решить "без изменения стандартных настроек". Паранойя -- вообще поведение нестандартное.
 
Цитата
Данила Икрянников пишет:
А его и нету для тех, кто по IP-фильтру не подходит. Какая разница, что он слушает, если в ответ -- молчок? То же самое делает любой файрвол. Слушает, но молчит, если условия не совпадают.
Ошибаетесь, любой порт сканнер будет показывать наличие порта вне зависимости от настроек IP фильтрации в Radmin. Можете проверить это сами. Вы считаете IP фильтрацию аналогом фаервола, что совершенно не правильно.

Цитата
Данила Икрянников пишет:
А Вы думаете, как порты запрещают? Пакет (в том числе и гипотетически опасный пакет, в том числе и откровенно опасный пакет) анализируется, и, если надо, игнорируется. Он в любом случае приходит по Вашим проводам на Ваш разъём. Вас это не пугает?

Фаервол не анализирует пакеты, он разрешает/запрещает их передачу в соответствии с заданными правилами. Пакет проходит по проводу и фильтруется фаерволом, меня это не пугает.

Цитата
Данила Икрянников пишет:
То, что Вы предложили выше ("Возможность выбора сетевого подключения + VPN"), реализуется имеющимися инструментами. Разрешить интерфейс = разрешить соответствующий диапазон адресов. Запретить интерфейс = не разрешать его диапазон.

Не реализуется, т. к. в случае с динамическим IP нужно разрешать диапазон в IP фильтрации, а любой диапазон это потенциальная угроза, например, при диапазоне 126.168.0.1-126.168.255.254 вас могут атаковать с 65534 адресов. К тому же провайдер вообще может изменить диапазон выдаваемых адресов, и тогда проблем у вас еще прибавиться.

Цитата
Вениамин Хозяинов пишет:
Вы много рассказали о недостатках IP-фильтрации при динамическом распределении адресов, но ранее предложенные Вами изменения этот недостаток никоим образом не решают. И их в любом случае невозможно решить "без изменения стандартных настроек". Паранойя -- вообще поведение нестандартное.
"Выбор сетевого соединения" делает не бессмысленным использование VPN без фаервола. А при использовании VPN возня с настройками будет просто не нужна.
Изменено: Вениамин Хозяинов - 12.05.2010 02:43:09
 
А насколько сложно ввести функцию АГЕНТА КЛЮЧЕЙ в памяти (как в SSH)?

Работаю я, скажем, с маленькой толпой серверов одновременно и плотно -- запустил Pageant (PuTTY authentication agent), загрузил ПАЧКУ закрытых ключей шифрования (в память -- никуда больше они не пишутся), ввел ОДИН раз пароль (к этой связке ключей, штатная фича) -- и не парюсь. Уходя, экран блокирую. Или вообще закрываю Win-сессию -- Агент выгружается, ключи более недоступны.

Это все к тому, что ДОСТАТОЧНО СЛОЖНЫЙ пароль ЧАСТО вводить напрягает --> пользователь-человек склонен его упрощать или записывать --> снижать уровень безопасности. Нужен баланс.

Конечно, SSH-туннель тоже можно реализовать перед Radmin... но ведь лучше наверное интегрировать ТОЛЬКО необходимые функции (авторизацию по RSA-ключам + агент)?
 
Вопрос, наверное, разработчикам

Есть ли возможность в настройках Radmin Server изменить максимальное количество попыток входа с неправильно введенным логин/пароль с одинакового IP, после чего в логе появляется собщение "... Connection from ххх.ххх.ххх.ххх was closed because of many previous bad password attempts" и время, на которое блокируется этот IP-адрес?

Где-то ведь счетчик этих неверных входов в программе присутствует?

Допустим прописать какие-нибудь параметры в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v3.0\Server\Parameters
или ключи в командной строке запуска (я так понимаю, что INI файла нет).

Понятно, что из соображений безопасности, цифирку можно подвинуть только на уменьшение.

Какой-то .удак упертый уже достал своими подборами (три месяца).
IP у меня статический, поэтому смена порта не помогает, открытые порты он пересканирует по адресу перебором.
После "... Connection from ххх.ххх.ххх.ххх was closed because of many previous bad password attempts" переходит на другой анонимный прокси и подбирает снова с другого адреса.

Я бы хотел, допустим ограничить число неверных попыток входа - 3, и блокировка после этого - 30 мин

Заранее спасибо за информацию
Изменено: andy rain - 18.12.2011 02:59:52
 
Да вобщем-то смысла нет. Подобрать не получится. сделайте любой безопасный пароль и спите спокойно.
 
Добрый день.
Недавно на рабочий комп через радмин стала ломиться какая-то зараза.

Сначала с 195.3.144.100 кто-то "попробовал почву":
Код
<3172> RServer3 2015.04.29 02:21 sata.ip-colo.net (195.3.144.100) (Admin): Password is incorrect or error occurs
<3172> RServer3 2015.04.29 02:21 sata.ip-colo.net (195.3.144.100) connection closed
<2568> RServer3 2015.04.29 02:21 sata.ip-colo.net (195.3.144.100) (admin): Password is incorrect or error occurs
<2568> RServer3 2015.04.29 02:21 sata.ip-colo.net (195.3.144.100) connection closed
<3104> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) (terminal): Password is incorrect or error occurs
<3104> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) connection closed
<2916> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) (atm): Password is incorrect or error occurs
<2916> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) connection closed
<776> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) (Atm): Password is incorrect or error occurs
<776> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) connection closed
<1784> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) (Terminal): Password is incorrect or error occurs
<1784> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) connection closed
<1956> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) (bankomat): Password is incorrect or error occurs
<1956> RServer3 2015.04.29 02:22 sata.ip-colo.net (195.3.144.100) connection closed
Потом то же, но уже через анонимайзер:
Код
<2348> RServer3 2015.05.04 18:46 
dsl-189-131-219-64-dyn.prod-infinitum.com.mx (189.131.219.64) (admin): 
Password is incorrect or error occurs
<2348> RServer3 2015.05.04 18:46 dsl-189-131-219-64-dyn.prod-infinitum.com.mx (189.131.219.64) connection closed
<1224> RServer3 2015.05.04 18:46 46.119.228.131 (aa4432ud): Password is incorrect or error occurs
<1224> RServer3 2015.05.04 18:46 46.119.228.131 connection closed
<2776> RServer3 2015.05.04 18:59 93-47-113-16.ip112.fastwebnet.it 
(93.47.113.16) (administrator): Password is incorrect or error occurs
<2776> RServer3 2015.05.04 18:59 93-47-113-16.ip112.fastwebnet.it (93.47.113.16) connection closed
<3188> RServer3 2015.05.04 18:59 200.167.191.42 (Admin): Password is incorrect or error occurs
<3188> RServer3 2015.05.04 18:59 200.167.191.42 connection closed
<2860> RServer3 2015.05.04 19:12 24.192.151.193.e-yugansk.ru 
(193.151.192.24) (Administrator): Password is incorrect or error occurs
<2860> RServer3 2015.05.04 19:12 24.192.151.193.e-yugansk.ru (193.151.192.24) connection closed
<3212> RServer3 2015.05.04 19:12 5.134.61.225 (adm): Password is incorrect or error occurs
<3212> RServer3 2015.05.04 19:12 5.134.61.225 connection closed
Кто-то или что-то пробует распространённые связки логинов/паролей.
Разумеется это не опасно, проблема в том, что я сам не мог зайти на комп во время атаки.
Код
Соединение с ***.***.***.***
Не удается соединиться с сервером
Будто машина не в сети.

В итоге я просто забанил 195.3.144.100 в рутере и поменял порт на всякий случай.
Вроде прекратилось, но от попыток атак с других IP защиты нет.

Версия 3.5
 
Смените порт со стандартного, тогда роботы не будут мешать жить.
 
Вот этот гад 195.3.144.100 заломился к нам на сервер через радмин брутфорсом подобрал пароль и снял 2400$ с банк клиента. Пароль был 12 символов.

Держись задрот скоро я приеду к тебе и отрежу тебе палец.
 
Цитата
qiwi12 написал:
Вот этот гад 195.3.144.100 заломился к нам на сервер через радмин брутфорсом подобрал пароль и снял 2400$ с банк клиента. Пароль был 12 символов.

Держись задрот скоро я приеду к тебе и отрежу тебе палец.

Тут надо не ему палец резать, а админу сервера голову ))))
Во-первых - тупым перебором подобрать 12-символьный пароль нереально в реальные сроки (пока не спалят попытки как минимум), если пароль конечно не состоит из одних цифр, а имеет хотя бы 2 вида символов.
Во-вторых - кроме RAdmin надо еще в систему войти, если конечно система вообще стоит на блокировке по тайм-ауту.
В-третьих - даже если вошел в систему, надо еще войти в сам клиент-банк. Ну а там точно пароль криптостойкий (требование банков). Если конечно клиент-банк не оставляют открытым.
Ну и в-четвертых - такой гемор устраивать из-за каких-то 2,5 тыс. грин - надо быть идиотом просто )))
Тут "для следствия" один вывод - или админ - дЭбил и гнать его в зашей, через суд получая с него денег, или снял - свой...

П.С. И вообще - пробрасывать из инета порт на ПК с клиент-банком напрямую - верх маразма!
Изменено: Дмитрий Мальцев - 30.06.2015 07:14:55
 
Радмин автоматически защищается от брутфорса. Так что это был не брутфорс...
 
Нас интересует юридическая сторона вашей программы. Имеется ли у вас страховой полис на покрытие ущерба по безопасности использования и дальнейших противоправных действий совершенных используя программу Radmin?
 
Цитата
NPG написал:
Нас интересует юридическая сторона вашей программы. Имеется ли у вас страховой полис на покрытие ущерба по безопасности использования и дальнейших противоправных действий совершенных используя программу Radmin?
Например: Все понимают что такое состояние аффекта, человеческий фактор, алкогольное опьянение. Например айтишник под воздействием таких факторов, зайдя в компьютер расчетчиков отправит через программу Банк-Клиент пару миллионов евро в офшорный счет (ясно что без возврата)! Или просто введет изменения в какие бухгалтерские программы. Исправит какие-то письма, и т.п. Не важно в итоге он сделает это применяя программу Radmin. Имеется ли у вас страховой полис на покрытие такого ущерба???
Изменено: NPG - 11.11.2015 00:22:27
 
NPG, у Вас очень хитрый план.
Допустим я пьяный сел за руль своего авто, документы в порядке. По дороге заехал на клумбу соседу и составил ущерба на 100 000 (дорогие были цветочки). Может ли КАСКО это оплатить? Может ли вообще логически существовать в природе страховка такого типа? Я понимаю юристам все подсилу, но есть же какие-то разумные пределы.
качаете ставите сервер, в папке установки eula.txt, пункт 4. NO WARRANTY AND DISCLAIMER., приду проверю (шутка). [URL=http://www.radmin.ru/about/legal/rad30eula.php]тут по-русски[/URL].
Изменено: sav1 - 29.12.2015 07:41:01
Страницы: 1
Читают тему (гостей: 2)

Follow us on Twitter
 
Работает на «1С-Битрикс»