Можно ли считать port knocking нормальной альтернативой vpn?
Допустим, есть удаленное рабочее место. Открывать до него rdp абсолютно небезопасно, вопрос времени когда его взломают. Доступ к нему через vpn неудобен тем, что не всегда можно установить клиент vpn на машине, откуда будет необходимость зайти. Если закрыть доступ к rdp через port knocking, насколько это будет безопасно? Вообще, стоит ли рассматривать такое?
Взлом - вопрос времени в любом случае. Так что самое секьюрное - ВПН. И да, правило хорошего тона - нужно использовать нативные vpn клиенты системные, а не городить огороды из устанавливаемых сторонних клиентов.
Открывать до него rdp абсолютно небезопасно, вопрос времени когда его взломают.
Тю! У меня лет десять люди ходят на RDP без VPN, и нет такой проблемы. А если и взломают, то 99.9% это произойдёт изнутри сети через заражение и\или человеческий фактор. Снаружи прикрыто файерволом. VPN есть, но, как уже отметил Василий Банников, VPN решает другую задачу - связывает разные офисы в единую сеть.
Да, road-warrior-VPN решает задачу.
Да, port knocking тоже решает задачу.
И да, нормально настроенный firewall тоже решает задачу.
Дыкъ я же написал - у меня firewall решает эту проблему. Если конкретнее - iptables и доступ по белому списку. Этот вариант имеет свои минусы и свои ограничения применимости, но конкретно в моих условиях работает хорошо.
Port knocking имеет другие плюсы и другие минусы и тоже может работать хорошо в определённых условиях. Ничего не имею против port knocking.
Когда грянула пандемия мне надо было почти сотню человек пересадить на удалёнку за два дня!
У половины "комп общий", еще у нескольких маки, айпады-планшеты и компы с вистой-семеркой восьмеркой. Были даже компы без админского доступа!
Тот еще зоопарк...
Так что пришлось использовать ICMP-knocking (проще батник написать.. да и кто сниферит пингом с разной длиной пакета?)
Плюс правило в микротике что этот белый адрес живёт только 8 часов
Три года полёт нормальный
была только одна попытка подбора RDP-пароля (домашний комп сотрудника был какой-то бякой заражен - но от этого даже VPN не спасёт)
Привяжите задачу к событию в журнале безопасности RDP сервера - уведомлять о неудачной попытке входа
Если такого достаточно, то чем тебе сложный пароль не угодил?
Решает проблему взлома (хоть не гарантировано, но в существенной мере), но совсем не решает две других проблемы:
1. могут быть десятки в секунду и сотни в секунду попыток, что кладёт терминальный сервер - как бы смешно это ни звучало, но он тратит почти всю свою производительность на логирование этих попыток;
2. если злоумышь угадывает существующее имя пользователя, то уже после нескольких попыток учётка оказывается заблокирована; взлома нет, но пользователь не может работать; админ разблокирует учётку, но злоумышленный бот не останавливается и учётка блокируется снова и снова.
Так что какой-то дополнительный метод защиты нужен, но, конечно, это не обязательно VPN.
Кстати, использование нестандартного порта (что одни настоятельно рекомендуют, а другие называют совершенно бессмысленным) уменьшает раз в 100 или в 1000 именно две названных проблемы при отсутствии другой защиты. Если бы всегда чётко говорили об этом, как о способе митигации (mitigation), а не о защите, то споров было бы меньше, ибо настоящей защитой не является, но и бесполезным не является.
А при наличии серьёзной защиты дополнительные средства митигации несколько теряют актуальность, но всё равно не становятся полностью ненужными.
Как по мне Port knocking - сложно для юзеров и опасно в случае утечки последовательности. Опять же как забрать доступ у отдельного пользователя? Думаю, что RDP+RDS-Gateway будет более удобным решением. Или SSH-tunel, но опять же сложно для обычных пользователей.