Am letzten Patch Tuesday hat Microsoft das Sicherheitsupdate MS12-020 veröffentlicht, um zwei kürzlich entdeckte Schwachstellen in Microsofts Implementierung von RDP (Remote Desktop Protocol) zu schließen. Eine davon stuft Microsoft als „kritisch“ ein, da sie es Hackern ermöglichen könnte, die Kontrolle über das lokale System eines Windows-Rechners mit aktiviertem RDP zu erlangen.
Wie Sie wahrscheinlich schon gehört haben, ist dies eine Situation mit hohem Risiko – eine, die zu einer ebenso ernsten Epidemie führen könnte wie die von Code Red, Melissa oder SQL Slammer verursachte. Patchen oder beheben Sie das Problem jetzt!
Microsoft unterstützt Sie in beiden Fällen. Sie können entweder den Patch installieren oder ein Online-Fix-It-Skript ausführen, um das Problem zu entschärfen, bis der Patch angewendet wird. Das Skript aktiviert die Network Level Authentication, die eine Authentifizierung erfordert, bevor ein entferntes System eine Verbindung herstellen kann.
Aber ich habe noch einen anderen Rat. Wie ich schon seit mehr als einem Jahrzehnt empfehle, sollten Administratoren in Erwägung ziehen, Dienste, die mit dem Internet verbunden werden können, wenn möglich auf nicht standardmäßigen Ports auszuführen. In diesem speziellen Fall sollte RDP auf einem anderen Port als Port 3389 ausgeführt werden.
Dieser Ratschlag gilt auch für andere Bereiche. Verwaltungswebseiten sollten nicht auf Port 80 oder gar 443 laufen. SSH sollte nicht auf Port 22 lauschen. Telnet-Hosts sollten nicht auf Port 23 lauschen. Der einzige weit verbreitete Dienst, den ich nicht zuverlässig auf einem nicht standardmäßigen Port zum Laufen bringen konnte, ist FTP: Er verwendet die Ports 21 und 22 (im passiven Modus), und selbst sein aktiver Modus (bei dem Sie andere Ports angeben können) funktioniert nicht gut durch Firewalls hindurch.
Im Fall von RDP können Sie den Standardport ändern, indem Sie diese Anleitung befolgen. Wenn Sie den Standardanschluss ändern, müssen Sie jedoch den nicht standardmäßigen Anschluss in der Verbindungszeichenfolge angeben (z. B. mstsc.exe 192.168.1.12:50045).
Meine Empfehlung, den standardmäßigen Abhöranschluss eines unternehmensweiten Dienstes zu ändern, stößt häufig auf Kritik. Mein Hauptargument ist folgendes: In den meisten Fällen kann ein Unternehmen den Standard-Listening-Port ändern, was abgesehen von der Schulung der Administratoren und der einmaligen Neukonfiguration einiger Skripte und Tools keine Probleme verursacht und das Risiko eines bewaffneten Angriffs erheblich verringert.
Obwohl Hacker und Malware einen Port-Scanner wie Nmap verwenden können, um den neuen Port zu finden, haben keine bewaffneten Exploits jemals einen Port-Scan durchgeführt, obwohl sie dies leicht tun könnten. Allein diese Tatsache bietet Ihnen einen großen Schutz.
Einige Leute nennen diese Art von Empfehlung „Sicherheit durch Unklarheit“, als ob das etwas Schlechtes wäre. Wenn Sie mich fragen, ist Sicherheit durch Unklarheit eine der besten Verteidigungsmaßnahmen. Andernfalls würde jede Nation veröffentlichen, wo sich ihre Raketen und Atom-U-Boote befinden, anstatt diese Informationen geheim zu halten.
Für mich ist der SQL-Slammer-Wurm eines der besten Argumente dafür, gängige Dienste auf nicht standardmäßige Ports zu legen. Er wurde 2003 veröffentlicht und nutzte innerhalb von 10 Minuten fast jeden möglichen ungepatchten und ungeschützten SQL-Server aus, der mit dem Internet verbunden war. Der Angriff erfolgte an einem frühen Sonntagmorgen, und als die meisten Administratoren erwachten, war der Schaden schon fast einen ganzen Arbeitstag lang entstanden.
Als wir uns das verkrustete Salz aus den Augen gewischt hatten, war es im Grunde schon vorbei – und wir verbrachten die nächsten 48 Stunden (oder länger) damit, das Chaos zu beseitigen. Es war ein Weckruf.
Niemand, der SQL auf einem Nicht-Standard-Port (d.h. einem Port außer 1433 und 1434) aktiviert hatte, musste irgendetwas tun – außer in aller Ruhe zuzusehen, wie alle anderen mit ihren Katastrophen fertig wurden. Diejenigen, die den Port gewechselt hatten, mussten kein riesiges Chaos aufräumen. Sie mussten keine Patches auf den Weg bringen. Sie hatten keine ausgebeuteten Server. Eine einzige Änderung mit minimalen Auswirkungen auf den Betrieb, und schon konnten sie tonnenweise Risiken vermeiden.
Sicherlich funktionieren andere Abhilfemaßnahmen genauso gut, z. B. das Erfordernis einer gültigen VPN-Verbindung, bevor eine Verbindung zum Dienst hergestellt wird, das Erfordernis einer Kombination von vorherigen Port-Kontakten, bevor der Dienst aktiviert wird, oder das Erfordernis einer erfolgreichen Authentifizierung, bevor der Dienst antwortet (dies ist Microsofts „Fix It“-Lösung), und alles andere, was Sie vor waffenfähigen Angriffen schützen könnte.
Aber ich kann mir keine andere einfache Sicherheitslösung vorstellen, die das Risiko so effektiv verringert, wie die Änderung des Standard-Ports, wenn möglich. Wenn Sie diesen Rat befolgen, setzen Sie den Port auf eine ziemlich hohe Nummer, über 10.000 oder 12.000, um mögliche Portkonflikte mit anderen bestehenden Diensten zu vermeiden. Testen Sie die gesamte Produktionsausrüstung und aktualisieren Sie alle erforderlichen Firewalls oder Proxys. Die Leser, die diesen Rat in der Vergangenheit befolgt haben, haben es diese Woche nicht so eilig.