Ответить
  • KINMOR MemberАвтор темы
    офлайн
    KINMOR Member Автор темы

    130

    15 лет на сайте
    пользователь #207862

    Профиль
    Написать сообщение

    130
    # 7 августа 2014 16:08

    Приветствую, господа. Есть один офис, в котором стоит сервер с базами 1С. В этом офисе стоит 20 компов. Также есть подключение к интернету по ADSL (байфлай). Есть второй офис, который находится на другом конце города. На втором офисе стоят компы, которые подключаются к удаленному рабочему столу к серверу.
    Задача: наиболее безопасно обеспечить подключение к удаленному рабочему столу. Потому что постоянные подключения к серверу с целью подбора пароля меня уже достали. И вообще, можно ли сделать так, чтобы через интернет можно было подключиться только определенным компьютерам? Т.е. исключить подключение к серверу злоумышленников до ввода логина и пароля.

  • Curtein Senior Member
    офлайн
    Curtein Senior Member

    1554

    19 лет на сайте
    пользователь #36531

    Профиль
    Написать сообщение

    1554
    # 7 августа 2014 16:42

    Сначала устанавливаете VPN-подключение, потом RDP.

  • zettich Onliner Auto Club
    офлайн
    zettich Onliner Auto Club

    5564

    21 год на сайте
    пользователь #7853

    Профиль
    Написать сообщение

    5564
    # 7 августа 2014 16:47

    1) запретить все снаружи, поставить VPN (PPTP, OpenVPN, что угодно) и путем доступа подключаться к внутреннему IP сервера по RDP
    2) если 2008+, то ничего можно не делать, а лишь закрыться файрволлом и поставить нормальные пароли. в последних версиях RDP все шифруется. также можно обеспечить доступ не по паролям, а по сертификатам.

  • newangel Member
    офлайн
    newangel Member

    267

    20 лет на сайте
    пользователь #17363

    Профиль
    Написать сообщение

    267
    # 7 августа 2014 17:01

    Еще можно переназначить порт рдп по умолчанию. А вообще человек правильно советует сначала впн. а потом рдп.

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4258

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4258
    # 7 августа 2014 17:37
    KINMOR:

    И вообще, можно ли сделать так, чтобы через интернет можно было подключиться только определенным компьютерам? Т.е. исключить подключение к серверу злоумышленников до ввода логина и пароля.

    да, использовать сертификаты. в остальном правильно сказали, rdp уже давно шифруется, а проблема подбора паролей легко решается политиками.

  • KINMOR MemberАвтор темы
    офлайн
    KINMOR Member Автор темы

    130

    15 лет на сайте
    пользователь #207862

    Профиль
    Написать сообщение

    130
    # 8 августа 2014 12:43
    Игорь Зеттич:

    1) запретить все снаружи, поставить VPN (PPTP, OpenVPN, что угодно) и путем доступа подключаться к внутреннему IP сервера по RDP
    2) если 2008+, то ничего можно не делать, а лишь закрыться файрволлом и поставить нормальные пароли. в последних версиях RDP все шифруется. также можно обеспечить доступ не по паролям, а по сертификатам.

    Стоит Server 2008 R2. А какой принцип подключения по сертификатам? Я в общих чертах читал. Нужно на сервере развернуть сервер сертификатов автономный, потом подать запросы на сертификаты и их выпустить. Потом на каждый комп загрузить в нужные хранилища. Без этого сертификата комп не сможет подключиться к серверу? Т.е. не сможет дойти до этапа подбора логина и пароля? Просто была Win server 2008 sp2 Standart x-86, там по какой-то причине не удалось настроить подключение, используя сертификаты. И вообще можете литературу какую посоветовать по данному вопросу?

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4258

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4258
    # 8 августа 2014 13:55

    KINMOR, почему у вас вообще возникла проблема подбора паролей к rdp? может проще решить эту проблему?

  • KINMOR MemberАвтор темы
    офлайн
    KINMOR Member Автор темы

    130

    15 лет на сайте
    пользователь #207862

    Профиль
    Написать сообщение

    130
    # 8 августа 2014 14:02
    Proxopotamus:

    KINMOR, почему у вас вообще возникла проблема подбора паролей к rdp? может проще решить эту проблему?

    Каким образом решить проблему? Подключить VPN у Белпака и пользоваться им дорого (как считает руководство), а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4258

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4258
    # 8 августа 2014 16:47
    KINMOR:

    а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

    пользователи часто ошибаются при вводе пароля :)

  • zettich Onliner Auto Club
    офлайн
    zettich Onliner Auto Club

    5564

    21 год на сайте
    пользователь #7853

    Профиль
    Написать сообщение

    5564
    # 8 августа 2014 17:08

    KINMOR,
    cat /var/log/secure | grep 'authentication failure' | wc -l
    100869

    :-) это нормально.

  • АндрюхО Neophyte Poster
    офлайн
    АндрюхО Neophyte Poster

    13

    15 лет на сайте
    пользователь #156482

    Профиль
    Написать сообщение

    13
    # 8 августа 2014 17:15 Редактировалось АндрюхО, 7 раз(а).

    Могу для желающих (совершенно бесплатно, так сказать даром) по Skype продемонстрировать вышеописанные варианты (VPN, фильтрация по IP, переназначеные портов RDP), реализованные на базе продуктов: Kerio WinRoute Firewall и Microsoft Forefront Threat Management Gateway 2010.

  • KINMOR MemberАвтор темы
    офлайн
    KINMOR Member Автор темы

    130

    15 лет на сайте
    пользователь #207862

    Профиль
    Написать сообщение

    130
    # 11 августа 2014 08:59
    Proxopotamus:

    KINMOR:

    а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

    пользователи часто ошибаются при вводе пароля :)

    да не пользователи, у пользователей конкретные логины, а перебор идет и логинов и паролей.

    АндрюхО:

    Могу для желающих (совершенно бесплатно, так сказать даром) по Skype продемонстрировать вышеописанные варианты (VPN, фильтрация по IP, переназначеные портов RDP), реализованные на базе продуктов: Kerio WinRoute Firewall и Microsoft Forefront Threat Management Gateway 2010.

    А может какие ссылки обучающие предложите или видео?

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4258

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4258
    # 11 августа 2014 11:35
    KINMOR:

    да не пользователи, у пользователей конкретные логины, а перебор идет и логинов и паролей.

    "в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля"
    ну, во-первых, я не совсем понимаю, почему "ежедневно регистрирую по несколько попыток взлома" у вас однозначно ассоциируется с "идет перебор логинов и паролей". если бы вас действительно ломали, то 1) ваш adsl-канал рухнул бы за доли секунды и 2) вы бы не успевали пролистывать журнал событий.
    во-вторых, даже если предположить, что есть некий дятел, который пару раз в день пытается руками "подобрать" (кхм) пароль, то 1) почему вы не настроите политики авторизации и 2) вы и правда хотите из-за этого кулхацкера значительно усложнить процедуру доступа к терминалу?

    зы куда более вероятные причины того, что в журнале фиксируются попытки "взлома":
    1. ваши пользователи, как везде, ошибаются с логинами и паролями
    2. у вас в сети сидит вирусняк вроде старой доброй нешты. а возможно, и не в сети, а кто-то подключается из дома по vpn.
    3. вы выставили в интернет интерфейс с включённым нетбиосом.

  • KINMOR MemberАвтор темы
    офлайн
    KINMOR Member Автор темы

    130

    15 лет на сайте
    пользователь #207862

    Профиль
    Написать сообщение

    130
    # 11 августа 2014 12:21 Редактировалось KINMOR, 1 раз.
    Proxopotamus:

    "в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля"
    ну, во-первых, я не совсем понимаю, почему "ежедневно регистрирую по несколько попыток взлома" у вас однозначно ассоциируется с "идет перебор логинов и паролей". если бы вас действительно ломали, то 1) ваш adsl-канал рухнул бы за доли секунды и 2) вы бы не успевали пролистывать журнал событий.
    во-вторых, даже если предположить, что есть некий дятел, который пару раз в день пытается руками "подобрать" (кхм) пароль, то 1) почему вы не настроите политики авторизации и 2) вы и правда хотите из-за этого кулхацкера значительно усложнить процедуру доступа к терминалу?

    зы куда более вероятные причины того, что в журнале фиксируются попытки "взлома":
    1. ваши пользователи, как везде, ошибаются с логинами и паролями
    2. у вас в сети сидит вирусняк вроде старой доброй нешты. а возможно, и не в сети, а кто-то подключается из дома по vpn.
    3. вы выставили в интернет интерфейс с включённым нетбиосом.

    Да все потому, что порт RDP торчит в инете.
    Proxopotamus, я не полный ноль в сетевых технологиях, и отличить подключение пользователя от подбора по журналу событий вполне могу. И когда пробуют подобрать пароль к учетке "Administrator" в выходной день с китайского айпишника, а такой учетки вообще нет , то тут не надо быть семи пядей во лбу!

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4258

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4258
    # 11 августа 2014 13:10
    KINMOR:

    И когда пробуют подобрать пароль к учетке "Administrator" в выходной день с китайского айпишника, а такой учетки вообще нет

    у меня таких записей только за последний месяц 25 тысяч. вы поймите одну простую вещь - если вы что-то выставляете в интернет, это будут ломать. завёрнете rdp в vpn - будут ломиться на vpn. вы только бессмысленно усложните процедуру подключения для пользователей. настройте правила на брандмауэре, настройте политики, задайте правильные сложные пароли для критических учёток и забейте делайте бэкапы.

  • zettich Onliner Auto Club
    офлайн
    zettich Onliner Auto Club

    5564

    21 год на сайте
    пользователь #7853

    Профиль
    Написать сообщение

    5564
    # 11 августа 2014 17:42

    вобще исходя из задания (один офис с внешним IP, на котором крутится сервер, а второй - с компами, я так понимаю там НАТ) достаточно запретить соединения ото всюду, кроме как из внешнего айпи второго офиса.

  • KINMOR MemberАвтор темы
    офлайн
    KINMOR Member Автор темы

    130

    15 лет на сайте
    пользователь #207862

    Профиль
    Написать сообщение

    130
    # 18 августа 2014 15:05

    Да в том-то все и дело, что на втором офисе ip динамический. Хотя это можно решить, переговорю с руководством.

  • zettich Onliner Auto Club
    офлайн
    zettich Onliner Auto Club

    5564

    21 год на сайте
    пользователь #7853

    Профиль
    Написать сообщение

    5564
    # 19 августа 2014 07:23

    KINMOR, даже если вы откроете все сети провайдера, ситуация с безопасностью не сильно пострадает.

  • bobom Senior Member
    офлайн
    bobom Senior Member

    618

    16 лет на сайте
    пользователь #148408

    Профиль
    Написать сообщение

    618
    # 22 августа 2014 10:16

    есть гораздо проще решения: просто пробросить нестандартный порт RDP (например 3398), и пробросить его например через керио :) ну и статику у БТК подключить, что бы кажды пользователь (бухгалтер дома и тп) не устанавливал себе VPN клиенты

  • Marafon_Co Senior Member
    офлайн
    Marafon_Co Senior Member

    3878

    17 лет на сайте
    пользователь #80161

    Профиль
    Написать сообщение

    3878
    # 9 июля 2015 10:38

    Если у кого на сервер 1С по RDP заходили и базы пихали в запароленый RAR архив и требовали выкуп - есть одно призрачное решение. Пишите в ЛС.. подскажу

    не злись