Из обязаловки
1. сменить дефалтный порт
2. политика сложных паролей
А вообще - не брезгуйте бэкапами, господа. Тихононько...сервисом...ночью...в облако...
как минимум
Порекомендую https://rutracker.org/forum/viewtopic.php?t=5356776
офлайн
Marafon_Co
Senior Member
|
|
3878 |
17 лет на сайте Город:
|
Из обязаловки
1. сменить дефалтный порт
2. политика сложных паролей
А вообще - не брезгуйте бэкапами, господа. Тихононько...сервисом...ночью...в облако...
как минимум
Порекомендую https://rutracker.org/forum/viewtopic.php?t=5356776
Marafon Co:1. сменить дефалтный порт
2. политика сложных паролей
сейчас этого уже не достаточно - сканер быстро найдёт нужный порт, а необходимая сложность паролей превышает разумные пределы. реально работает использование шлюза и авторизации на уровне сети, что делает сам брутфорс, не имея сертификата, по сути бессмысленным.
а зачем надо защищать подключение? кто-то может получить доступ? пароля разве недостаточно?
Orhonel:а зачем надо защищать подключение? кто-то может получить доступ? пароля разве недостаточно?
выставленный rdp напрямую в интернеты уязвим перед брутфорсом.
сложные пароли это хорошо, но остаётся проблема с блокировкой аккаунтов при переборе. но вообще, если использовать уникальные логины, например moyafirma-1c или elena.bljad, то этой проблемы можно избежать, потому что перебор идёт по простым логинам, например administrator, иван, buh1, director и т.д.
факт подбора можно увидеть в журнале безопасности локального компа (если не вне домена), либо на контроллере домена.
по опыту - смена порта или псевдостатический ip (например, услуга "статическое имя" от мтс, который действует только на время подключения) помогает только на день-два.
Proxopotamus:Orhonel:а зачем надо защищать подключение? кто-то может получить доступ? пароля разве недостаточно?
выставленный rdp напрямую в интернеты уязвим перед брутфорсом.
сложные пароли это хорошо, но остаётся проблема с блокировкой аккаунтов при переборе. но вообще, если использовать уникальные логины, например moyafirma-1c или elena.bljad, то этой проблемы можно избежать, потому что перебор идёт по простым логинам, например administrator, иван, buh1, director и т.д.
Трудночитаемые логины самому админу потом проблемы создают, поди потом разберись в этом бардаке. Ну и вариант такой, что вдруг уволишься, потом кому-то разгребать это.
Сам мучаюсь с защитой RDP, но есть мысль как это побороть. Пробую реализовать так: на основание события с кодом 4625 в Журнале безопасности создаем задачу для планировщика, который запускает PowerShell скрипт который вытаскивает из этого же события IP взломщика и в созданное в Брандмауэре правило для входящих подключений добавляем IP в список блокировки. Руками проверил, всё работает, осталось только PowerShell выучить и написать скрипт Правда минус небольшой есть, если кто-то из своих вручную будет логиниться и промахнется по паролю или логину, то сразу блок, но обычно у всех это вынесено в ярлыки с сохраненными паролями, так что я как бы сильно не напрягаюсь по этому поводу.
Есть еще решение, но это только для небольшого количества машин, фильтровать трафик на уровне роутера на уровне MAC-адресов, руками их поштучно добавить туда и тогда уже до сервера вообще ничего левого доходить всех еще роутер отрежет.
2738385:Трудночитаемые логины самому админу потом проблемы создают, поди потом разберись в этом бардаке. Ну и вариант такой, что вдруг уволишься, потом кому-то разгребать это.
Сам мучаюсь с защитой RDP, но есть мысль как это побороть.
Поднимаете VPN? Доступ по сертификату. Уволился сотрудник, его сертификат в топку, новому выписываешь новый сертификат. Логины и пароли на RDP могут быть уже попроще.
2738385:Брандмауэре правило для входящих подключений добавляем IP в список блокировки.
и через какое-то время у вас половина интернета в блоке. и какую именно проблему вы этим блоком решите? ну заблокировали хост, который пытался подобрать пароль - и что? он всего лишь один из десятков, если не сотен тысяч хостов ботнета. прекратятся атаки ботнета на учётку buh? нет.
2738385:но обычно у всех это вынесено в ярлыки с сохраненными паролями
не обычно
у некоторых бизнес-роутеров есть сервисы, которые позволяют легко ограничивать доступ по географии, например zyxel серии usg. возможно, вам это будет интересно.
Speccy_zx80:Поднимаете VPN? Доступ по сертификату
по сертификату можно и сразу в rdp ходить.
Proxopotamus:по сертификату можно и сразу в rdp ходить.
не всегда. смотря какая ос на RDP
Proxopotamus:2738385:Брандмауэре правило для входящих подключений добавляем IP в список блокировки.
и через какое-то время у вас половина интернета в блоке. и какую именно проблему вы этим блоком решите? ну заблокировали хост, который пытался подобрать пароль - и что? он всего лишь один из десятков, если не сотен тысяч хостов ботнета. прекратятся атаки ботнета на учётку buh? нет.
Да мне хоть весь интернет в блоке, мне от этого ни жарко ни холодно, главное что бы мои пользователи работали Весь смысл в том что бы снизить нагрузку на сервер, в итоге мы получим 2-3 левых запроса в час, а не несколько тысяч и переполненный журнал событий. И, я думаю, доступ по сертификату, не отменит попыток взлома
2738385:Да мне хоть весь интернет в блоке, мне от этого ни жарко ни холодно
а вашему серверу плохо не станет от такой нагрузки?
у вас уйдут месяцы на блокировку всего 1% хостов всего одного ботнета из тысяч. и в какой-то момент все ресурсы сервера начнут уходить на обработку правил.
2738385:И, я думаю, доступ по сертификату, не отменит попыток взлома
вы открыли ворота и ожидаете, что в них никто не захочет войти?
Proxopotamus:а вашему серверу плохо не станет от такой нагрузки?
у вас уйдут месяцы на блокировку всего 1% хостов всего одного ботнета из тысяч. и в какой-то момент все ресурсы сервера начнут уходить на обработку правил.
Там одно правило - если IP в черном списке, сразу выкинули и канал закрыли, просто дополняем список блокируемых адресов по мере возникновения новых.
И как бы задача не стоит в блокировке всего ботнета мира, задача - избавиться от левых подключений и попыток брутфорса, ну или хотя бы максимально ограничить их взаимодействие с сервером.
И серверу плохо не станет, просто из любопытства провел эксперимент что бы проверить. Создал текстовый файл с 1 000 0000 записей цифр по-порядку от 1 до 1000000 (представим, что это индексированный список IP адресов), и обыкновенным блокнотом попробовал через встроенный поиск найти различные цифры, блокнот даже не задумывался над такими задачами, а для того что бы наполнить список адресов одним миллионом записей со скоростью 3 адреса в час понадобится приблизительно 38 лет, так что я спокоен за сервер, выдержит
2738385:избавиться от левых подключений и попыток брутфорса
каким образом блокировка 1% хостов ботнета избавит вас от левых подключений и попыток брутфорса?
2738385:максимально ограничить их взаимодействие с сервером.
рабочее решение вам уже предложили - ssl.
Proxopotamus:2738385:избавиться от левых подключений и попыток брутфорса
каким образом блокировка 1% хостов ботнета избавит вас от левых подключений и попыток брутфорса?
2738385:максимально ограничить их взаимодействие с сервером.
рабочее решение вам уже предложили - ssl.
вот не надо было мою фразу на две части делить, тогда бы и было ясно, что полностью от брутфорса и левых подключений избавится не выйдет, а вот сократить количество таких попыток с 1000 до 2-3 в час вполне реально, а 2-3 попытки это как бы и ненапряжно ни для моего внутреннего спокойствия, ни для сервера, а что бы ssl поднять надо чуть больше знаний в области администрирования, чем у меня есть, так что я к решению проблемы подошел с другой стороны
2738385:я к решению проблемы подошел с другой стороны
так вы её не решили. вы блокируете один хост - на его место заходит другой.
Proxopotamus:так вы её не решили. вы блокируете один хост - на его место заходит другой.
еще раз повторюсь, 2-3 запроса в час - это приемлемо, на скорость работы мало чем влияет
2738385:еще раз повторюсь, 2-3 запроса в час - это приемлемо, на скорость работы мало чем влияет
ещё раз - на каждый заблокированный вами хост появится новый. со стороны ботнета атаки не прекратятся, их интенсивность не уменьшится.
Proxopotamus:2738385:еще раз повторюсь, 2-3 запроса в час - это приемлемо, на скорость работы мало чем влияет
ещё раз - на каждый заблокированный вами хост появится новый. со стороны ботнета атаки не прекратятся, их интенсивность не уменьшится.
а при использовании ssl уменьшатся?
Proxopotamus:2738385:а при использовании ssl уменьшатся?
их не будет
с чего вдруг? SSL прячет IP сервера?