Port knocking как замена VPN?

Question

[Константин Фролов]

Можно ли считать port knocking нормальной альтернативой vpn?

Допустим, есть удаленное рабочее место. Открывать до него rdp абсолютно небезопасно, вопрос времени когда его взломают. Доступ к нему через vpn неудобен тем, что не всегда можно установить клиент vpn на машине, откуда будет необходимость зайти. Если закрыть доступ к rdp через port knocking, насколько это будет безопасно? Вообще, стоит ли рассматривать такое?

Comments

[Keffer]

Взлом - вопрос времени в любом случае. Так что самое секьюрное - ВПН. И да, правило хорошего тона - нужно использовать нативные vpn клиенты системные, а не городить огороды из устанавливаемых сторонних клиентов.

[hint000]

Открывать до него rdp абсолютно небезопасно, вопрос времени когда его взломают.

Тю! У меня лет десять люди ходят на RDP без VPN, и нет такой проблемы. А если и взломают, то 99.9% это произойдёт изнутри сети через заражение и\или человеческий фактор. Снаружи прикрыто файерволом. VPN есть, но, как уже отметил Василий Банников, VPN решает другую задачу - связывает разные офисы в единую сеть.

Да, road-warrior-VPN решает задачу.
Да, port knocking тоже решает задачу.
И да, нормально настроенный firewall тоже решает задачу.

[Константин Фролов]

hint000, почему не боитесь за открытый rdp?
Сложный пароль, обновления, минимальное количество попыток входа, после которых ip идёт в бан?

[hint000]

Константин Фролов,

почему не боитесь за открытый rdp?

Дыкъ я же написал - у меня firewall решает эту проблему. Если конкретнее - iptables и доступ по белому списку. Этот вариант имеет свои минусы и свои ограничения применимости, но конкретно в моих условиях работает хорошо.
Port knocking имеет другие плюсы и другие минусы и тоже может работать хорошо в определённых условиях. Ничего не имею против port knocking.

[Константин Фролов]

hint000, а, ну вот белые списки мне как раз могут не подойти, как раз из-за сценария использования.

Answer 1

[TheBigBear]

Когда грянула пандемия мне надо было почти сотню человек пересадить на удалёнку за два дня!
У половины "комп общий", еще у нескольких маки, айпады-планшеты и компы с вистой-семеркой восьмеркой. Были даже компы без админского доступа!
Тот еще зоопарк...
Так что пришлось использовать ICMP-knocking (проще батник написать.. да и кто сниферит пингом с разной длиной пакета?)
Плюс правило в микротике что этот белый адрес живёт только 8 часов
Три года полёт нормальный
была только одна попытка подбора RDP-пароля (домашний комп сотрудника был какой-то бякой заражен - но от этого даже VPN не спасёт)
Привяжите задачу к событию в журнале безопасности RDP сервера - уведомлять о неудачной попытке входа

Answer 2

[Василий Банников]

VPN и port knocking решают разные задачи.
Если такого достаточно, то чем тебе сложный пароль не угодил?

Comments

[hint000]

Если такого достаточно, то чем тебе сложный пароль не угодил?

Решает проблему взлома (хоть не гарантировано, но в существенной мере), но совсем не решает две других проблемы:
1. могут быть десятки в секунду и сотни в секунду попыток, что кладёт терминальный сервер - как бы смешно это ни звучало, но он тратит почти всю свою производительность на логирование этих попыток;
2. если злоумышь угадывает существующее имя пользователя, то уже после нескольких попыток учётка оказывается заблокирована; взлома нет, но пользователь не может работать; админ разблокирует учётку, но злоумышленный бот не останавливается и учётка блокируется снова и снова.
Так что какой-то дополнительный метод защиты нужен, но, конечно, это не обязательно VPN.

Кстати, использование нестандартного порта (что одни настоятельно рекомендуют, а другие называют совершенно бессмысленным) уменьшает раз в 100 или в 1000 именно две названных проблемы при отсутствии другой защиты. Если бы всегда чётко говорили об этом, как о способе митигации (mitigation), а не о защите, то споров было бы меньше, ибо настоящей защитой не является, но и бесполезным не является.
А при наличии серьёзной защиты дополнительные средства митигации несколько теряют актуальность, но всё равно не становятся полностью ненужными.

[Константин Фролов]

В целом, отличное решение, я получил ответ на свой вопрос.

Answer 3

[Gregory]

сейчас самое простое это wineguard клиент , есть портейб версия, нечего устнавливтьа не нужно , юзер просто запускает файл и подключается в впн сеть

Comments

[Константин Фролов]

Дабы не нарваться на что-нибудь нехорошее - не подскажете, где оно живёт?

[Gregory]

Константин Фролов,
wireguard-windows-portable
https://github.com/DrEm-s/wireguard-windows-portable

готовые конфиг файлы с роутера mikrotik можно делать этой утилитой
https://youtu.be/9y_ioXrkjMg

Answer 4

[graf_Alibert]

Как по мне Port knocking - сложно для юзеров и опасно в случае утечки последовательности. Опять же как забрать доступ у отдельного пользователя? Думаю, что RDP+RDS-Gateway будет более удобным решением. Или SSH-tunel, но опять же сложно для обычных пользователей.

Comments

[Константин Фролов]

Хм, ssh-тунель вроде можно быстро поднять

[graf_Alibert]

Константин Фролов, Поднять то быстро, среднестатистическому юзеру объяснить как это делать - сложно)