Как сделать защищенное соединение по RDP?

Question

[Bohdan Zadorozhniy]

Подскажите пожалуйста как можно защитить подключение по RDP, вайт лист не подходит
Как сделать, что бы поставить не стандартные порты на подключение, а тех кто будет мониторить по стандартным портам блокировать?
устройство микротик, или подскажите какие статьи почитать, спасибо всем кто ответил.

Answer 1

[Denis Melnikov]

Нестандартный порт ставите в NAT
А все остальное в FW , если сканируется порт 3389, добавляет в ACL , после этот же ACL дропаете.

Второй вариант, это VPN,
Третий вариант, это RDP шлюз и порт 443 или кастомный.

Это вам кастомный порт

[mkr@mkr-gw] /ip firewall nat> add chain=dstnat protocol=tcp in-interface=ether1 port=33389 action=dst-nat to-addresses=192.168.192.
168 to-ports=3389

тут добавил в ACL и блочим

//Блочим всех кто в списке
[mkr@mkr-gw] /ip firewall filter> add chain=input address-list=block action=drop 

//Добавим в список того, кто по новым соединениям собрался на 3389 
[mkr@mkr-gw] /ip firewall filter> add dst-port=3389 connection-state=new in-interface=ether1 action=add-dst-to-address-list address-
list=block chain=input

Comments

[Bohdan Zadorozhniy]

как это можно загуглить, что бы сделать в микротике?

[Denis Melnikov]

Bohdan Zadorozhniy, как вариант mikrotik honeypot

[Bohdan Zadorozhniy]

я правильно понял, что в правилах которые вы скинули 192.168.192.168:33389 это адрес на рдп
//Блочим всех кто в списке
[mkr@mkr-gw] /ip firewall filter> add chain=input address-list=block action=drop это готовая база ип для блока от микротика?

[mkr@mkr-gw] /ip firewall filter> add dst-port=3389 connection-state=new in-interface=ether1 action=add-dst-to-address-list address-
list=block chain=input - могу ли я использовать это правило n-раз меняя порты?

[Bohdan Zadorozhniy]

Denis Melnikov, верно я понял?

[Denis Melnikov]

Bohdan Zadorozhniy, 33389 это порт , куда будут стучаться ваши клиенты, а 192,, это уде локальный сервер, то есть это обычное правило NAT ( если не в курсе что это, рекомендую начать со стека TCP/IP изучения )

то готовая база ип для блока от микротика?

Конечно нет... в список будут добавляться те, кто будет стучаться на 3389

могу ли я использовать это правило n-раз меняя порты?

Можете их списком указать

[Bohdan Zadorozhniy]

Denis Melnikov, я все, понял, спасибо большое, я думаю вы мне сэкономили очень много времени, я теперь хоть имею представление, что и как искать

[Bohdan Zadorozhniy]

Denis Melnikov, подскажите как удалять если что порты из листа и ип которые случайно попали в бан?

[Denis Melnikov]

Bohdan Zadorozhniy, кнопкой Delete

Answer 2

[Sasha Odarchuk]

Ваш кейс можно решить по разному (кроме того что уже советовали)
вариант1: Remote Desktop Gateway
вариант2: MFA

Comments

[Bohdan Zadorozhniy]

если есть ссылки на источники, не могли бы вы поделиться, потому что я в сетях и в их защите вообще ничего не понимаю

Answer 3

[d-stream]

Я бы расположил по "приличности" примерно так:
1. RDS Gateway и/или vpn по вкусу (anyconnect, ipsec+l2tp и т.п.)
2. vpn по вкусу (anyconnect, ipsec+l2tp и т.п.)

прятать порт в нестандартных - ну это от школоты разве что, хотя сейчас и школота не руками сканит = боты с разных адресов сканят все диапазоны портов, максимум вначале известные порты

Вот последним можно воспользоваться:
делаем правила дропа и занесения в блэклист обращения к типичным, но не задействованым портам (telnet, ftp, ssh, sql, mysql, sip и тп)

в итоге бот сунулся в порт из списка - не успев получить ответ дропнулся и попал в список и больше ему нет ответа даже с "правильных" портов.

На микротике - это собственно две строки:
input правило если src addr в блэклисте
input правило с действием add src to list - помещать в блэклист

у меня на этой сладкой палочке со сроком очистки 10 дней висит порядка 2-4 тысяч адресов

p.s. главное родной rdp в правила не подсовывать, а то одна ошибка, забыв указать порт и отдых)

Comments

[Denis Melnikov]

p.s. главное родной rdp в правила не подсовывать, а то одна ошибка, забыв указать порт и отдых)

Можно как вариант на 1 час в ACL добавлять. Боты думаю тоже учатся не стучаться туда, где их блочат.

[Bohdan Zadorozhniy]

Denis Melnikov, какие порты еще в блок кидать кроме 3389?

[Denis Melnikov]

Bohdan Zadorozhniy, ну так вам же ответили

делаем правила дропа и занесения в блэклист обращения к типичным, но не задействованым портам (telnet, ftp, ssh, sql, mysql, sip и тп)

Вот все эти можете добавить.

[Bohdan Zadorozhniy]

Denis Melnikov, спасибо

[Bohdan Zadorozhniy]

Denis Melnikov, а не подскажите как если, что убрать порты из блока? или есть где потом перечень правил списком в текстовом формате?

[d-stream]

Denis Melnikov,

Боты думаю тоже учатся не стучаться туда, где их блочат.

они даже не знают о том что их блочат, просто не получают никакого ответа. То бишь с точки зрения бота - компьютера не существует или он выключен.
Редкий везучий бот может конечно начать сканирование ровно с нужного порта - вероятность ненулевая, но очень маленькая.

Bohdan Zadorozhniy, я для исследовательских целей делал по отдельному правилу на каждый порт - тупо для оценки куда чаще лезут, а утилитарно - одно правило со списком портов для занесения в блэклист и одно перед ним для дропа по блэклисту.