Чем защитить RDP кроме нестандартного Логина и сложного пароля?

Question

[Андрей Ермаченок]

Есть сервер к которому нужно давать доступ Юзерам по RDP (другие варианты неприемлемы)
На него идет непрерывная атака: каждые 3 секунды кто-то пытается подключиться.
Половина Логинов в этих попытках это USER, ADMIN, ADMINISTRATOR и АДМИНИСТРАТОР
Что реально сделать, кроме нестандартных Логинов, сложных Паролей и Блокировки аккаунта при неудачных попытках авторизации?

Answer 1

[Alexey Dmitriev]

IPBan умеет защиту от брутфорса RDP из коробки
https://github.com/DigitalRuby/IPBan

Answer 2

[TheBigBear]

Мало информации
Для начала не использовать стандартный RDP порт 3389 и разрешить доступ только определенным IP (см ниже)
По возможности поднять VPN-сервер и настроить юзерям VPN-клиенты
Сервер напрямую подключен к Интернет или через роутер и проброс порта?
Первое - не самый лучший способ мазохизма.
Если второе, то хотя бы сообщите - какой роутер?
Если нет возможности поставить всем VPN то как минимум настроить ICMP или port-knokking для получения IP юзера и разрешить доступ к порту на несколько часов только тех IP что прошли проверку.. На Микротике это делается на раз-два. В самом крайнем случае выявить диапазоны местечковых провайдеров юзеров и добавить в "белый список" Шанс что злодей находится в вашем городе, очень низок. Делается несложно - просим пользователя из дома зайти на сайт 2ip.ru или yoip.ru и сообщить его IP. Далее чере 2ip.ru/whois смотрим какому провайдеру принадлежит

Comments

[Константин Фролов]

К сожалению, нестандартный порт очень легко и быстро станет известен злоумышленникам.

[Андрей Ермаченок]

Проброшен нестандартный порт через Микротик - это как мёртвому припарки.
Все ваши варианты неприемлемы:
Нужен доступ 24/7 с разных IP из разных стран СНГ - сотрудник в командтровке в гостинице, например - какой "белый список"?
Поставить клиентов VPN Юзерам опять же нереально - есть специфика. Не всем Юзерам, которые подключаются, можно это сделать по разным причинам.

[TheBigBear]

Андрей Ермаченок, Если Микротик - то просто замечательно
Настрой ICMP-Knocking
У клиента будет на раб столе простой .bat файл состоящий из 3 строк, например (размер пакета можно менять)
ping 94.179.59.18 -l 130-n 1
ping 94.179.59.18 -l 252 -n 1
ping 94.179.59.18 -l 458 -n 1
На микротике
/ip firewall filter
add action=add-src-to-address-list address-list=PortKnock1 address-list-timeout=1s chain=input comment="Ping 1 for PortKnock" packet-size=158 protocol=icmp
add action=add-src-to-address-list address-list=PortKnock2 address-list-timeout=1s chain=input comment="Ping 2 for PortKnock" packet-size=280 protocol=icmp src-address-list=PortKnock1
add action=add-src-to-address-list address-list=For_RDP_Connect address-list-timeout=10h chain=input comment="Ping 3 for PortKnock" log=yes packet-size=486 protocol=icmp src-address-list=PortKnock2
/ip firewall nat
add action=dst-nat chain=dstnat comment=For_RDP_Connect dst-port=44170 protocol=tcp src-address-list=For_RDP_Connect to-addresses=192.168.10.2 to-ports=3389

Что разрешит на 10 часов доступ к порту IP адресу того места где юзер находится (время можно менять)
Просто юзеру перед заходом на RDP сервер нужно будет этот батник запустить

Answer 3

[Andrey Lutsenko]

Я за пункт 4 и за нижеупомянутый IPBan.