Насколько безопасен проброс порта?

Question

[Дмитрий]

Здравствуйте, у меня вопрос насколько безопасен проброс порта РДП если его число увеличить например до 30000 и настроить доступ с единственного внешнего айпи? просто был печальный опыт пробрасывал СТАНДАРТНЫЙ порт 3389 но доступ айпи диапазона не ограничил, т.е. был доступен всем в итоге меня хакнули взломали даже мой 24 символьный пароль учетки винды и внедрили жесткий шифровальщик сильно не пинайте просто после этого страшно в инет выкидывать но работать надо.... сразу говорю альтернативы типа ВНС ЭниДеск и т д не рассматриваю НУЖНО ИМЕННО РДП

Comments

[Dieman666]

1. накатываем обновку последнюю стабильную на винсервер (винсервер минимум 2016, а так лучше 2019)
2.меняем логины и пароли на сложные (не только пароли, но и логины). user/@ser123 или administrator/@dmin123+- не подойдут, слишком легкие
3. настраиваем шифрование rdp и проверку подлинности на уровне сети (обязательно) в политиках
3. меняем порт со стандартного 3389 на кастомный
4. ставим софт от брутфорса (rdpguard 6.7.5/ipban, или их аналоги) ни в коем случае не выключаем встроенный фаер и uac
5. юзаем remoteapp, а не rdp
6. не раздаём юзерам админские права.
7. настраиваем бэкапы в несколько мест (Effector Saver/Iperius Backup или их аналоги) на другой комп по сети (сбор из шары по онли админской учётке в нерасшаренный комп в изолированной сети) + в облако, бэкапы обязательно должны быть в шифрованном парольном архиве.

[Дмитрий]

Dieman666, спс но это для сервера я пробрасываю рабочий комп обычный.... и кстати 5-пункт ПТСАТЬ БЫЛО НЕ НУЖНО но спасибо зп схему для сервеов я хоть это и знал но вы потрудились ответили))))

[Дмитрий]

В это слабо верится.
Скорее всего была еще одна учетка со слабым паролем. Либо пароль из списков

Нет, пароль уникальный мой со спец символами, заглавными, цифрами. Других учеток нет. Недавно натолкнулся на статью что пароли винды не такие эффективные, есть методы повышения прав, позволяющиее хакерам обходить защиту винды, и кроме того, у меня отключили антивирь он тоже был со сложным паролем(Касперский Секьюрити)

[pfg21]

прокидываю rdp через ssh-тунель.
авторизация ssh по 4кб ключу, по логам видел полгода брутфорсили пароль. попыток брутфорсить ключ даже не препринималось. защита таки есть.

Answer 1

[VoidVolker]

Боты сканируют все порты. Правильнее сделать так:

1. Поднять VPN сервер
   
2. Подключить к нему вашу машину в качестве клиента
   

И далее просто подключаетесь с вашего ПК к VPN, а потом напрямую к требуемой машине. Если VPN не подходит — тогда можно использовать стук по портам. И да, само собой IPBan и прочие механизмы защиты тоже следует использовать.

Comments

[Дмитрий]

впн поднят но после обновления винды не могу подключиться снес обнову не помогает раньше по вайерггард тупо запускал рдп с айпи 1.2.3.4(внутренний адрес ваера) и все взлетало теперь не прокатывает поэтому на этом же серваке впс пробросил....операционка впс-ки - микротик

[VoidVolker]

Дмитрий, значит, надо диагностировать почему не работает впн. Ну и не забывайте про любителей блокировок со своими тараканами — так что причина может быть не в ОС.

Answer 2

[Pb_hard]

Для дома и небольшой организации - достаточно безопасен, если доступ будет ограничен для одного IP

взломали даже мой 24 символьный пароль учетки винды

В это слабо верится.
Скорее всего была еще одна учетка со слабым паролем. Либо пароль из списков.

Comments

[Кот Абсолютный]

Мы именно так и хапнули - слабый пароль, рассчитанный на обычного юзера и отсутствие контроля по src ip. После чего разумеется переделали :) Бэкапы - наше все :)

Answer 3

[rPman]

"открыть порт наружу" = "предоставить доступ к сервису любому в мире".
Не важно какое значение порта, вы предоставляете прямой не шифрованный доступ.

Даже если публикуемый сервис имеет свои инструменты шифрования, они могут быть не достаточно хороши для такой публикации. Обычно сервисы локальной сети не предполагают такой доступ, а рассчитаны на уже существующие системы защиты.

Поэтому ответ - не надо так делать.

Существуют сервисы, которые создаются такими что бы быть опубликованными, т.е. достаточно защищенные. Настоятельно рекомендую использовать какой-нибудь механизм шифрования доступа, начиная с ssh (у него есть встроенная поддержка перенаправления портов, прокси сервер и даже vpn) либо какие-нибудь другие vpn серверы

Answer 4

[Кот Абсолютный]

Проброс при жестком контроле src ip - относительно безопасен. В качестве дополнительной меры - можно включать только когда надо.

Мы тоже как-то разок хапнули шифровальщика - по каналу, оставленному для 1С-франча, который обновляет ее. Ну что ж, вм на форензику, день работы бухгалтерии в корзину, вм на восстановление из бэкапа...

Answer 5

[AlexVWill]

по дефолту настроенный RDP (логин_пароль) не умеет защищаться от брутфорс, поэтому лучше его настроить или через AD или если нет такой возможности завернуть его в какой то туннель, хотябы в SSH (настройки Remmna позволяют подключаться к такому клиенту) но лучше делать по уму через VPN, тут все верно написали... там кстати, и не нужны будут ограничения по портам и IP...