Bonjour,
 
Dans une petite entreprise (10 postes + 1 serveur Windows Server 2016), j'ai un switch avec une Livebox pro V4 dessus.
Le DHCP est géré par le serveur et désactivé sur la Livebox.
L'IP du serveur est 192.168.1.5.
 
J'ai créé une redirection NAT sur le port 3389 depuis une adresse IP externe vers un poste 192.168.1.209.
 
Le bureau à distance fonctionne bien sur ce poste en interne.
 
Quand je me connecte depuis l'extérieur (la fameuse IP externe), au lieu d'arriver sur le bureau du poste (192.168.1.209), j'arrive sur le serveur (192.168.1.5).
 
Est-ce que vous auriez une idée d'où cela pourrait venir ?

Bonjour,
 
le serveur ne serait pas en DMZ de la box des fois ?

Non pas de DMZ

montre la config de la LB peut être

Voici la config :
 
En fait j'ai deux redirections NAT depuis 2 IP différentes même sur le même port.
C'est la deuxième qui ne fonctionne pas comme voulue, elle ne renvoie pas sur 192.168.1.209 mais sur 192.168.1.5.
Après je sais pas si c'est à ce niveau le problème où si c'est une sécurité sur Windows qui renvoie sur le serveur...
 

 

j'aurai tendance à dire que tu peux pas avoir 2 fois la même règle avec le même port

Oui je pensais à ça aussi, que ça ne tienne pas compte de l'IP source.
Je vais essayer d'avoir des ports différents.

en passant, tu es conscient qu'ouvrir le RDP sur le web c'est suicidaire ?
vu qu'apparemment il ne tiens pas compte de l'IP autorisée, n'importe qui peut essayer de se connecter !

+1 : hors d'un tunnel VPN de confiance, c'est du suicide.
Ce genre de ports (avec VNC et autres) sont les premiers à être testés par les pirates.

 
La LB peut être capable de filtrer l'accès en fonction de l'IP mais pas forcément d'appliquer une redirection différente selon l'IP.
 
La config donnée ci-dessus pourrait autoriser seulement les 2 IPs listées mais toujours renvoyer vers 192.168.1.5.
 
Il ne faut pas oublier que c'est une livebox. Je n'ai jamais testé la V4 mais la V3 était assez désastreuse.
 
A+
 
PS : Dans tous les cas ouvrir directement le port RDP n'est pas une bonne idée.

Suicide faut pas exagérer.  
Pas génial/pas recommandé oui.

Dans un contexte pro, ça s'appelle du suicide.
On ne laisse pas sciemment une porte ouverte comme celle la. Ce n'est pas professionnel et ça met en risque les données de l'entreprise (voir de son activité, tout simplement).

 
La réalité du terrain est bien différente, j'en vois un paquet des RDP ouverts en direct sans aucun soucis. (Et pas forcément sur du Windows à jour )
 
Je ne vois pas en quoi c'est plus du suicide qu'un Outlook Web Access en direct ou même une Gateway RDS.  
Dans tous les cas tu dépends de la force de ton couple d'identifiant mais surtout de la couche logicielle qui répond.

certaines failles sur le RDP permettaient de pousser des virus/crypto par le RDP sans nécessiter d'authentification.
 
donc tu as beau avoir des mot de passe de 64 caractères, idem pour le login, yen a pour quelques secondes a de faire tomber l'infra si ya pas le bon patch déployé

Tu as les CVE correspondants ? Ca m'intéresserait pour des clients un peu foufou

faut que je fouille, ça remonte a un bout de temps (plusieurs années)
la faille qui me viens a l'idée était pour XP/vista/7/2k3/2k8/

Si tu filtres sur l'IP source et que tu changes en plus le port par défaut, il se pourrait qu'au final ce soit plus secure que pas mal de VPN

celle la par exemple: https://docs.microsoft.com/fr-fr/se [...] 2/ms12-020

C'est un paliatif, mais ce n'est pas l'idéal.
Mais en aucun cas ça ne doit être open bar.
 
Ps : je parlais d'un VPN monté en interne, et non un service de VPN tiers.

Ne pas avoir un RDS ouvert sur le port par défaut, je suis OK.
Mais sur un autre port et surtout avec filtrage de l'IP source, le risque devient quasi nul.
En tous cas équivalent ou en deçà de pas mal de solutions VPN non MAJ et qui présente des failles.

  thx !
 
Après dans Azure je fais du JIT access sur les vm et on prem je fais souvent des mécanismes de port knocking

je suis plutôt d'accord, mais changer le port, ça ne fera que ralentir (les kikoulol ne scanneront que le 3389, les vrai hacker feront un nmap sur l'IP pour voir les ports qui répondent et le service associé)
le filtrage de port source sur une livebox ??? euh..... (je dis pas que ça marche pas, juste qu'on doit pouvoir trouver mieux qu'une livebox comme firewall)

Oui enfin des pirates qui vont s'attarder sur ton IP, c'est qu'ils te visent spécifiquement.
A partir de là, il va falloir sécuriser tout ce qui est accessible, du routeur lui-même aux matériels vers lesquels des flux sont redirigés.
Je ne dis pas que le risque n’existe pas mais il faut le relativiser pour la grosse majorité des entreprises dont le nombre important et le peu d'intérêt stratégique et financier les met à l'abri.
Au final il en va comme de sécuriser ses locaux physiquement. Une porte blindée, une serrure correcte, OK.
Mais va t'on, sous prétexte que le risque existe, préconiser à la TPE/PME qu'il faut aussi renforcer les murs et la toiture, des gardes H24, des badges nominatifs, de la vidéo, des enquêtes sur les salariés, etc.

Sur la Livebox, j'imagine que ça tourne sous Linux avec un iptable, non ?
A partir de là, pas de raison de moins lui faire confiance sur cette partie.
Après c'est sûr que je n'irai pas préconiser une Livebox face à un fortigate par exemple. Ce n'est pas les mêmes fonctions, le même soin apporté au firmware, ni le même support.
Bon après ce n'est pas le même prix non plus

C'est ce que je dis tu dépends de la couche logicielle qui répond

et une nouvelle !!
(désolé du déterrage mais vu qu'on en parlait ici…)
https://portal.msrc.microsoft.com/e [...] -2019-0708
Win7/2k8/2k8R2 sont bouchés par le tuesday patch d'hier

2k3/XP sont aussi impactés, les patch sont dispo sur le catalogue WU
https://support.microsoft.com/en-us [...] -2019-0708

donc a patcher rapidement pour les inconscients qui auraient du RDP exposés sur le net !!!!

quand j’ai mis le pied dans l’infra d’une de mes structures, y avait un serveur d’appli hébergé à l’extérieur dont le 3389 était ouvert en direct sur l’IP publique
 
je peux te dire que chaque minute j’avais des tentatives de connexions dans les logs
la première chose que j’ai fait a été de réactiver le pare feu (oui vous lisez bien...) et lancé Windows Update qui était désactivé.
 
cela a tenu comme ça quelques mois, je surveillais tous les jours et j’avais installé un soft pour cela : RDP Defender. Il bloquait les IP au bout de x tentatives échouées.  
 
Bref, mnt je suis derrière une RD Gateway et je dors sur mes deux oreilles......

Bien sûr qu'il y a des tentatives en rafale. C'est valable quel que soit le service en écoute.
Je disais juste que du RDP ouvert sur l'extérieur c'est pas si rare.

C'est pas parce que pleins de gens font de la merde que c'est une bonne idée.
Le RDP est l'un des ports les plus visés, et ce n'est pas sans impact sur le traffic et donc potentiellement la capacité à rendre le service.
Surtout que c'est un protocole dont les failles sont très largement scrutées (et pas que pour faire le bien...) car il est très pratique pour entrer dans les systèmes.
https://blog.xmco.fr/freerdp-rdeskt [...] -distance/

Ce n'est pas non plus ce que j'ai dit.