Как защитить подключение к удаленному рабочему столу (RDP)?

Marafon Co:

1. сменить дефалтный порт
2. политика сложных паролей

сейчас этого уже не достаточно - сканер быстро найдёт нужный порт, а необходимая сложность паролей превышает разумные пределы. реально работает использование шлюза и авторизации на уровне сети, что делает сам брутфорс, не имея сертификата, по сути бессмысленным.

Orhonel:

а зачем надо защищать подключение? кто-то может получить доступ? пароля разве недостаточно?

выставленный rdp напрямую в интернеты уязвим перед брутфорсом.
сложные пароли это хорошо, но остаётся проблема с блокировкой аккаунтов при переборе. но вообще, если использовать уникальные логины, например moyafirma-1c или elena.bljad, то этой проблемы можно избежать, потому что перебор идёт по простым логинам, например administrator, иван, buh1, director и т.д.
факт подбора можно увидеть в журнале безопасности локального компа (если не вне домена), либо на контроллере домена.
по опыту - смена порта или псевдостатический ip (например, услуга "статическое имя" от мтс, который действует только на время подключения) помогает только на день-два.

Proxopotamus:

Orhonel:

а зачем надо защищать подключение? кто-то может получить доступ? пароля разве недостаточно?

выставленный rdp напрямую в интернеты уязвим перед брутфорсом.
сложные пароли это хорошо, но остаётся проблема с блокировкой аккаунтов при переборе. но вообще, если использовать уникальные логины, например moyafirma-1c или elena.bljad, то этой проблемы можно избежать, потому что перебор идёт по простым логинам, например administrator, иван, buh1, director и т.д.

Трудночитаемые логины самому админу потом проблемы создают, поди потом разберись в этом бардаке. Ну и вариант такой, что вдруг уволишься, потом кому-то разгребать это.

Сам мучаюсь с защитой RDP, но есть мысль как это побороть. Пробую реализовать так: на основание события с кодом 4625 в Журнале безопасности создаем задачу для планировщика, который запускает PowerShell скрипт который вытаскивает из этого же события IP взломщика и в созданное в Брандмауэре правило для входящих подключений добавляем IP в список блокировки. Руками проверил, всё работает, осталось только PowerShell выучить и написать скрипт Правда минус небольшой есть, если кто-то из своих вручную будет логиниться и промахнется по паролю или логину, то сразу блок, но обычно у всех это вынесено в ярлыки с сохраненными паролями, так что я как бы сильно не напрягаюсь по этому поводу.

Есть еще решение, но это только для небольшого количества машин, фильтровать трафик на уровне роутера на уровне MAC-адресов, руками их поштучно добавить туда и тогда уже до сервера вообще ничего левого доходить всех еще роутер отрежет.

2738385:

Брандмауэре правило для входящих подключений добавляем IP в список блокировки.

и через какое-то время у вас половина интернета в блоке. и какую именно проблему вы этим блоком решите? ну заблокировали хост, который пытался подобрать пароль - и что? он всего лишь один из десятков, если не сотен тысяч хостов ботнета. прекратятся атаки ботнета на учётку buh? нет.

2738385:

но обычно у всех это вынесено в ярлыки с сохраненными паролями

не обычно
у некоторых бизнес-роутеров есть сервисы, которые позволяют легко ограничивать доступ по географии, например zyxel серии usg. возможно, вам это будет интересно.

Speccy_zx80:

Поднимаете VPN? Доступ по сертификату

по сертификату можно и сразу в rdp ходить.

Proxopotamus:

2738385:

Брандмауэре правило для входящих подключений добавляем IP в список блокировки.

и через какое-то время у вас половина интернета в блоке. и какую именно проблему вы этим блоком решите? ну заблокировали хост, который пытался подобрать пароль - и что? он всего лишь один из десятков, если не сотен тысяч хостов ботнета. прекратятся атаки ботнета на учётку buh? нет.

Да мне хоть весь интернет в блоке, мне от этого ни жарко ни холодно, главное что бы мои пользователи работали Весь смысл в том что бы снизить нагрузку на сервер, в итоге мы получим 2-3 левых запроса в час, а не несколько тысяч и переполненный журнал событий. И, я думаю, доступ по сертификату, не отменит попыток взлома

Proxopotamus:

а вашему серверу плохо не станет от такой нагрузки?
у вас уйдут месяцы на блокировку всего 1% хостов всего одного ботнета из тысяч. и в какой-то момент все ресурсы сервера начнут уходить на обработку правил.

Там одно правило - если IP в черном списке, сразу выкинули и канал закрыли, просто дополняем список блокируемых адресов по мере возникновения новых.
И как бы задача не стоит в блокировке всего ботнета мира, задача - избавиться от левых подключений и попыток брутфорса, ну или хотя бы максимально ограничить их взаимодействие с сервером.
И серверу плохо не станет, просто из любопытства провел эксперимент что бы проверить. Создал текстовый файл с 1 000 0000 записей цифр по-порядку от 1 до 1000000 (представим, что это индексированный список IP адресов), и обыкновенным блокнотом попробовал через встроенный поиск найти различные цифры, блокнот даже не задумывался над такими задачами, а для того что бы наполнить список адресов одним миллионом записей со скоростью 3 адреса в час понадобится приблизительно 38 лет, так что я спокоен за сервер, выдержит

Proxopotamus:

2738385:

избавиться от левых подключений и попыток брутфорса

каким образом блокировка 1% хостов ботнета избавит вас от левых подключений и попыток брутфорса?

2738385:

максимально ограничить их взаимодействие с сервером.

рабочее решение вам уже предложили - ssl.

вот не надо было мою фразу на две части делить, тогда бы и было ясно, что полностью от брутфорса и левых подключений избавится не выйдет, а вот сократить количество таких попыток с 1000 до 2-3 в час вполне реально, а 2-3 попытки это как бы и ненапряжно ни для моего внутреннего спокойствия, ни для сервера, а что бы ssl поднять надо чуть больше знаний в области администрирования, чем у меня есть, так что я к решению проблемы подошел с другой стороны

Proxopotamus:

так вы её не решили. вы блокируете один хост - на его место заходит другой.

еще раз повторюсь, 2-3 запроса в час - это приемлемо, на скорость работы мало чем влияет

Proxopotamus:

2738385:

еще раз повторюсь, 2-3 запроса в час - это приемлемо, на скорость работы мало чем влияет

ещё раз - на каждый заблокированный вами хост появится новый. со стороны ботнета атаки не прекратятся, их интенсивность не уменьшится.

а при использовании ssl уменьшатся?

Proxopotamus:

2738385:

а при использовании ssl уменьшатся?

их не будет

с чего вдруг? SSL прячет IP сервера?