• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Umfrage: Windows Server per Hardware Token absichern

Sören

NoSpamProxy

Teammitglied
Moin an alle,

bevor ich mir die Mühe mache, wollte ich mal bei euch abklopfen ob überhaupt Interesse besteht ;)

Sinn des Ganzen: Mein NSP ist gehostet und steht im Internet...RDP von außen kann man machen, ist aber unschön... bisher lief bei ein fail2ban clone auf Windows Basis.

Was habe ich gemacht?

Ich hab schon länger Yubikeys im Einsatz, wichtig: egal was man mit den Dingern macht, man braucht immer zwei um einen als Backup zu haben.

Auf den Yubikeys habe ich einen PGP Key generiert, also direkt auf dem Token...somit kann der niemals gestohlen werden, da dort generiert und exportierbar. Von diesem PGP Key habe ich public ssh Keys abgeleitet. Auf meinem Windows Server habe ich openssh installiert und so konfiguriert, dass man sich nur per Key anmelden kann. Nach erfolgreichem Test habe ich RDP geschlossen und SSH auf any geöffnet.

Per RDP komme ich aber immer noch dran, man kann ja in Putty easy irgendwelche Ports tunneln:

1718624952788.png

Das selbe gilt natürlich auch für den Port der NCC ;)

Somit ist der Server, egal wo er steht maximal abgesichert.... ein Angreifer der bereits meinen PC infiltriert haben könnte, könnte damit nichts anfangen, auch wenn der Key steckt. Es muss zum einen der PIN eingegeben werden wenn man den Key nutzen will und zum anderen muss durch physischen Druck auf den Key die Interaktion erlaubt werden.

Viel sicherer geht es kaum... hat den Vorteil, ich benutze das auch auf meinen Linux Maschinen, ich kann überall den selber SSH Key nutzen und brauch diese nicht zu rotieren. Ich lasse SSH einfach von any offen... wenn sich jemand an meinem Server von extern ausprobieren will, kann er das gerne tun... einen Vektor für einen Angriff wird er niemals finden.

Wenn ihr Interesse habt, dann schreibt gerne... dann mache ich mal eine Anleitung fertig inkl. Skript zum deployen des SSH Server und der Basis Konfiguration.

Aufwand wären so 30 bis 45 Minuten und die Kosten von ca 65€ pro Yubikey 5c.
 
Hallo Sören,
warum nicht dem RDP Zugriff via Yubikey absichern? Die Software gibt es kostenlos von Yubikey und inzwischen müsste der Stick auch als Smartcard erkannt und durchverbunden werden können. Ich selbst habe es noch nicht ausprobiert. Die Info kommt von einem Admin Kollege, der so seine Server erfolgreich gesichert hat.


Gruß,
Dani
 
Hallo Sören,
warum nicht dem RDP Zugriff via Yubikey absichern? Die Software gibt es kostenlos von Yubikey und inzwischen müsste der Stick auch als Smartcard erkannt und durchverbunden werden können. Ich selbst habe es noch nicht ausprobiert. Die Info kommt von einem Admin Kollege, der so seine Server erfolgreich gesichert hat.


Gruß,
Dani
Hi Dani

ja das ginge auch, aber zum einen kann ich so den selben Key auf den Linux Kisten nutzen und meistens brauche ich gar kein RDP Zugriff direkt sondern will entweder nur den Zugriff auf die NCC und tunnel mir den Port, arbeite mit der Powershell oder hole mir mit Winscp Logs usw.
 
Zurück
Oben