Как защитить подключение к удаленному рабочему столу (RDP)?

1) запретить все снаружи, поставить VPN (PPTP, OpenVPN, что угодно) и путем доступа подключаться к внутреннему IP сервера по RDP2) если 2008+, то ничего можно не делать, а лишь закрыться файрволлом и поставить нормальные пароли. в последних версиях RDP все шифруется. также можно обеспечить доступ не по паролям, а по сертификатам.

18 лет на сайте пользователь #17363

Еще можно переназначить порт рдп по умолчанию. А вообще человек правильно советует сначала впн. а потом рдп.

18 лет на сайте пользователь #9516

И вообще, можно ли сделать так, чтобы через интернет можно было подключиться только определенным компьютерам? Т.е. исключить подключение к серверу злоумышленников до ввода логина и пароля.

да, использовать сертификаты. в остальном правильно сказали, rdp уже давно шифруется, а проблема подбора паролей легко решается политиками.

12 лет на сайте пользователь #207862

1) запретить все снаружи, поставить VPN (PPTP, OpenVPN, что угодно) и путем доступа подключаться к внутреннему IP сервера по RDP2) если 2008+, то ничего можно не делать, а лишь закрыться файрволлом и поставить нормальные пароли. в последних версиях RDP все шифруется. также можно обеспечить доступ не по паролям, а по сертификатам.

Стоит Server 2008 R2. А какой принцип подключения по сертификатам? Я в общих чертах читал. Нужно на сервере развернуть сервер сертификатов автономный, потом подать запросы на сертификаты и их выпустить. Потом на каждый комп загрузить в нужные хранилища. Без этого сертификата комп не сможет подключиться к серверу? Т.е. не сможет дойти до этапа подбора логина и пароля? Просто была Win server 2008 sp2 Standart x-86, там по какой-то причине не удалось настроить подключение, используя сертификаты. И вообще можете литературу какую посоветовать по данному вопросу?

18 лет на сайте пользователь #9516

KINMOR, почему у вас вообще возникла проблема подбора паролей к rdp? может проще решить эту проблему?

12 лет на сайте пользователь #207862

KINMOR, почему у вас вообще возникла проблема подбора паролей к rdp? может проще решить эту проблему?

Каким образом решить проблему? Подключить VPN у Белпака и пользоваться им дорого (как считает руководство), а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

18 лет на сайте пользователь #9516

а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

пользователи часто ошибаются при вводе пароля

19 лет на сайте пользователь #7853

KINMOR, cat /var/log/secure | grep 'authentication failure' | wc -l100869

13 лет на сайте пользователь #156482

Могу для желающих (совершенно бесплатно, так сказать даром) по Skype продемонстрировать вышеописанные варианты (VPN, фильтрация по IP, переназначеные портов RDP), реализованные на базе продуктов: Kerio WinRoute Firewall и Microsoft Forefront Threat Management Gateway 2010.

12 лет на сайте пользователь #207862

KINMOR:

а в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля.

пользователи часто ошибаются при вводе пароля

да не пользователи, у пользователей конкретные логины, а перебор идет и логинов и паролей.

Могу для желающих (совершенно бесплатно, так сказать даром) по Skype продемонстрировать вышеописанные варианты (VPN, фильтрация по IP, переназначеные портов RDP), реализованные на базе продуктов: Kerio WinRoute Firewall и Microsoft Forefront Threat Management Gateway 2010.

А может какие ссылки обучающие предложите или видео?

18 лет на сайте пользователь #9516

да не пользователи, у пользователей конкретные логины, а перебор идет и логинов и паролей.

"в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля"ну, во-первых, я не совсем понимаю, почему "ежедневно регистрирую по несколько попыток взлома" у вас однозначно ассоциируется с "идет перебор логинов и паролей". если бы вас действительно ломали, то 1) ваш adsl-канал рухнул бы за доли секунды и 2) вы бы не успевали пролистывать журнал событий.во-вторых, даже если предположить, что есть некий дятел, который пару раз в день пытается руками "подобрать" (кхм) пароль, то 1) почему вы не настроите политики авторизации и 2) вы и правда хотите из-за этого кулхацкера значительно усложнить процедуру доступа к терминалу?

зы куда более вероятные причины того, что в журнале фиксируются попытки "взлома":1. ваши пользователи, как везде, ошибаются с логинами и паролями2. у вас в сети сидит вирусняк вроде старой доброй нешты. а возможно, и не в сети, а кто-то подключается из дома по vpn.3. вы выставили в интернет интерфейс с включённым нетбиосом.

12 лет на сайте пользователь #207862

"в журнале событий ежедневно регистрирую по несколько попыток взлома сервера путем подбора логина и пароля"ну, во-первых, я не совсем понимаю, почему "ежедневно регистрирую по несколько попыток взлома" у вас однозначно ассоциируется с "идет перебор логинов и паролей". если бы вас действительно ломали, то 1) ваш adsl-канал рухнул бы за доли секунды и 2) вы бы не успевали пролистывать журнал событий.во-вторых, даже если предположить, что есть некий дятел, который пару раз в день пытается руками "подобрать" (кхм) пароль, то 1) почему вы не настроите политики авторизации и 2) вы и правда хотите из-за этого кулхацкера значительно усложнить процедуру доступа к терминалу?

зы куда более вероятные причины того, что в журнале фиксируются попытки "взлома":1. ваши пользователи, как везде, ошибаются с логинами и паролями2. у вас в сети сидит вирусняк вроде старой доброй нешты. а возможно, и не в сети, а кто-то подключается из дома по vpn.3. вы выставили в интернет интерфейс с включённым нетбиосом.

Да все потому, что порт RDP торчит в инете. Proxopotamus, я не полный ноль в сетевых технологиях, и отличить подключение пользователя от подбора по журналу событий вполне могу. И когда пробуют подобрать пароль к учетке "Administrator" в выходной день с китайского айпишника, а такой учетки вообще нет , то тут не надо быть семи пядей во лбу!

18 лет на сайте пользователь #9516

И когда пробуют подобрать пароль к учетке "Administrator" в выходной день с китайского айпишника, а такой учетки вообще нет

у меня таких записей только за последний месяц 25 тысяч. вы поймите одну простую вещь - если вы что-то выставляете в интернет, это будут ломать. завёрнете rdp в vpn - будут ломиться на vpn. вы только бессмысленно усложните процедуру подключения для пользователей. настройте правила на брандмауэре, настройте политики, задайте правильные сложные пароли для критических учёток и забейте делайте бэкапы.

19 лет на сайте пользователь #7853

вобще исходя из задания (один офис с внешним IP, на котором крутится сервер, а второй - с компами, я так понимаю там НАТ) достаточно запретить соединения ото всюду, кроме как из внешнего айпи второго офиса.