RDP on Adrián Lois

Detectar, alertar y bloquear fuerza bruta a RDP

Tue, 16 Nov 2021 21:10:00 +0000

Antes de nada comentar que es una muy mala práctica y está totalmente desaconsejado publicar hacia internet servicios de escritorio remoto. RDP es de los servicios más comprometidos por atacantes externos, con más intentos de ataques y que facilitan un vector de entrada directo a la red de una empresa si el acceso se configura de esta forma.

En el caso de tener que publicar RDP a internet -sin una VPN o una conexión intermedia hacia un equipo bastión- aunque sea de una manera temporal, hay que hacerlo de la forma “más segura” posible.

Seth: Ataques MITM a conexiones RDP y mitigación

Sat, 15 May 2021 17:30:00 +0000

Seth es una herramienta desarrollada en python y bash que nos permite realizar un ataque MITM man in the middle en conexiones RDP aprovechándose una configuración insegura como es el NO habilitar la autenticación a nivel de red NLA para conexiones de escritorio remoto.

Como requerimiento previo para usar Seth es necesario tener instalado arpspoof por lo que será necesario instalar el paquete dsniff.

apt install dsniff -y

Clonar el repositorio de Seth.

Restringir el inicio de sesión RDP a Administradores y usuarios específicos (hardening)

Thu, 03 Sep 2020 16:02:00 +0000

Por defecto para poder usar los Servicios de escritorio remoto RDP Remote Desktop Protocol necesitamos un usuario, ya sea local en la máquina remota o de dominio, que tenga permisos para poder conectarse. Para ello dicho usuario debe ser miembro del grupo Administradores locales o bien del grupo Usuarios de escritorio remoto.

Agregar o quitar usuarios o grupos a través de las Propiedades del sistema (sysdm.cpl) sería lo mismo que hacerlo a través del propio grupo local “Usuarios de escritorio remoto” que podemos encontrar en la consola lusrmgr.msc.

Hydra, Medusa y Ncrack: password cracking por fuerza bruta y password spraying

Tue, 23 Jun 2020 16:22:00 +0000

THC-Hydra, Medusa y Ncrack son herramientas para realizar ataques de fuerza bruta a servicios activos cliente/servidor como: ssh, ftp, rdp, smb, mysql, telnet, http, imap, vnc, etc.

Para mostrar el uso de estas herramientas usaré el siguiente escenario de ejemplos. Escaneando con nmap los equipos remotos y puertos empleados para cada tipo de servicio.

nmap -p 21 10.0.0.16      # Windows 7 servicio FTP
nmap -p 3389 10.0.0.16    # Windows 7 servicio RDP
nmap -p 445 10.0.0.16     # Windows 7 servicio SMB/CIFS
nmap -p 22 10.0.0.40      # Linux servicio SSH

Auditar inicios de sesión erróneos (ID 4625) y notificar vía email

Sat, 18 Jan 2020 09:30:00 +0000

Una forma de auditar los errores de accesos de inicio de sesión o login a un sistema Windows ya sean accesos físicos, en remoto mediante RDP, recursos compartidos CIFS o llamadas a procedimientos remotos RPC como pueden ser el acceso a consolas msc de equipos remotos. Se considerarán inicios de sesión en una máquina Windows.

Este artículo se centrará en la auditoría de todos los accesos erróneos de login a un sistema pero en especial irá enfocado a los intentos de inicios de sesión RDP desde equipos remotos y la notificación de este evento vía un mensaje de correo electrónico de forma automática.

NETSH portproxy: Port forwarding local en Windows

Sun, 24 Feb 2019 17:00:00 +0000

Un método para crear túneles haciendo un reenvío de puertos usando un sistema Windows es el uso de la utilidad de comandos NETSH. Para hacer uso de este comando es necesario tener privilegios administrativos sobre la máquina.

Netsh tiene una propiedad llamada portproxy la cual actúa como un proxy en las redes y aplicaciones IPv4 e IPv6.

Mostraré un ejemplo que podría ser típico, se trata de un reenvío de puertos local con el fin de establecer una conexión de Escritorio Remoto (RDP) entre dos máquinas Windows.

Plink SSH: auto-aceptar hostkey al crear túnel local port forwarding

Sat, 16 Feb 2019 20:30:00 +0000

Hostkey o fingerprint SSH

Cuando nos conectamos a través de un cliente SSH como PuTTY, por primera vez en una conexión se nos mostrará una alerta de seguridad indicando que el host key no está cacheado en el registro, no es más que la huella digital o fingerprint de la máquina remota a la que nos conectamos usado como método de confianza para garantizar la autenticidad de la máquina remota.

Esta host key al no estar registrada o cacheada por la máquina cliente que establece la conexión por primera vez, nos alerta de que no hay garantía de que el servidor remoto sea quien creemos que es.

Credenciales almacenadas en caché de RDP: riesgos y mitigación

Sat, 03 Nov 2018 18:23:00 +0000

En el artículo anterior había comentado sobre la Gestión y recuperación de credenciales almacenadas en recursos y servicios de Windows. En relación a esto quiero abordar el caso concreto del almacenamiento de credenciales en caché para el servicio de RDP, su comportamiento por defecto, riesgos de seguridad que esto supone y cómo mitigarlos correctamente.

Windows permite de forma predeterminada que el cliente de Escritorio Remoto (RDP) recuerde las credenciales introducidas en sesiones previamente establecidas.

Gestión y recuperación de credenciales almacenadas en Windows

Fri, 12 Oct 2018 10:57:00 +0000

Siguiente artículo relacionado:

Credenciales almacenadas en caché en RDP: Comportamiento por defecto, riesgos de seguridad y mitigación

Existen varias formas de poder visualizar las credenciales dominio\usuario y password de los recursos de red almacenados, servicios de RDP entre otro tipo de credenciales almacenadas de Windows.

Para que este almacenamiento sea posible debemos tener habilitado y en ejecución (por defecto ya suele estarlo) el servicio de “Administrador de credenciales” (VaultSvc) que proporciona el almacenamiento seguro y recuperación de credenciales de usuarios.

Túnel SSH con PuTTY para RDP (local port forwarding)

Wed, 01 Aug 2018 19:57:00 +0000

Un túnel SSH se utiliza principalmente para tunelizar tráfico sobre internet o sobre una red local de una manera segura. Podemos encapsular un tipo de protocolo sobre una conexión establecida SSH (Secure SHell).

Supongamos que nos queremos conectar a un servidor interno de una red local a través de Internet, pero el firewall de la compañía restringe las conexiones origen dirigidas a determinados puertos, entre ellos el 3389 (puerto por defecto usado para RDP), sin embargo si permite conexiones al puerto 22 (puerto por defecto para SSH).

Licencias RDP entre Windows Server 2016 y Windows Mobile (RDM, Windows CE, RDP 5.x/6.x)

Thu, 19 Jul 2018 19:30:00 +0000

Actualmente RDP (Remote Desktop Protocol) está en versión 10.x y versiones más actualizadas que incluyen importantes mejoras de seguridad. Mejoras como una mayor longitud de clave generada por el servidor de licencias RDS 4096 bits con un algoritmo de seguridad SHA256 soportando SSL/TLS y NLA (Network Level Authentication).

Versiones iguales o inferiores a RDP 6.x no soportan las características anteriores. El límite de longitud para las claves es de 2048 bits con algoritmo de seguridad SHA1 (Secure Hash Algorithm 1).

Servidores y modo de licencias CAL de Servicios de Escritorio Remoto (RDS)

Mon, 09 Jul 2018 19:00:00 +0000

Este ejemplo sería aplicable para un entorno en la que disponemos de varios Windows Server. Uno de ellos será el que tendrá el rol instalado de Administrador de licencias de Servicios de Escritorio remoto (RDS - Remote Desktop Services) en el que instalaremos licencias CAL (Client Access Licenses) ya sean por usuario o por dispositivo.

En este caso habrá 5 licencias CAL por usuario para RDS.

Configurar DDNS con No-IP para acceso remoto (Windows/Linux)

Wed, 04 Nov 2015 12:18:00 +0000

Hoy en día existe gran información en internet sobre cómo crear un DDNS (Dynamic Domain Name System), pero simplemente como apunte personal y con motivo de entradas posteriores que iré publicando, escribiré esta entrada para tenerla como referencia.

En una red convencional disponemos de un rango de IPs internas (LAN) los cuales hacen NAT para salir a otras redes externas hacia Internet, NAT traduce las peticiones de todas las direcciones IPs internas en una única dirección IP externa/pública la cual es proporcionada por nuestro ISP.

Eliminar la caché de equipos en conexiones RDP

Wed, 26 Aug 2015 10:00:00 +0000

Si hemos realizado conexiones por Terminal Services (escritorio remoto) veremos que estas guardan o quedan cacheadas en el panel de conexión por escritorio remoto.

La caché guarda temporalmente los datos recientemente procesados de modo que la siguiente vez que nos queramos conectar a otro equipo lo tengamos más cómodo a la hora de introducir los datos necesarios.