Какие есть варианты (лучше бесплатные) выставить RDP наружу так, чтобы защитить от взлома?

Question

[Сергей Сахаров]

Разумеется, есть вариант поднять VPN-сервер и пускать только его клиентов. Но PPTP и L2TP уже не считаются надёжными, а предлагать клиентам самостоятельно настроит OpenVPN -сомнительно. Да, знаю, что RDP напрямую выставляют, меняя порт, но по сути это "безопасность основанная на незнании". Хотелось бы послушать специалистов.
Кроме того, я слышал, что РКН не умеет работать и может блокировать все протоколы VPN даже внутри страны. Надеюсь что только пока. Континент-АП платный. В общем, какие средства использовали бы Вы лично, чтобы выставить свой собственный сервер терминалов в Интернет?

Comments

[Adamos]

я слышал, что РКН не умеет работать и может блокировать все протоколы VPN даже внутри страны

Кто вам сказал такую глупость?
РКН умеет работать и может блокировать все протоколы и все адреса именно поэтому.
А _на ваши интересы_ он работать как-то и не собирался.

P.S. Я лично вот прям сегодня по этому поводу настраиваю self-hosted RustDesk. Но у меня винды низкоприоритетны.

[Zerg89]

Или self-hosted Aspia клиент и сервер сами шифруют соединения по tls, в основе rdp

[Дмитрий]

Настройка OpenVPN у клиента вообще-то может быть сведена к установке ПО, импортированию единственного файла конфига, содержащего параметры и ключи шифрования, и опционально - вводу пароля от сертификата. Это совсем не сложно. Другой вопрос, что OpenVPN работает уже не гарантированно.

[Дмитрий]

Adamos, RustDesk если под RDP подразумевается терминальный многопользовательский доступ (на что намекает упоминание клиентов), то RustDesk не подойдет. Хотя я тоже настраивал его self-hosted не далее как на прошлой неделе, для техподдержки. Ибо AnyDesk все чаще отказывается работать.

[Евгений]

А чем не устраивает стандартный Шлюз удаленных рабочих столов?
Он без домена может работать.

[Роман Безруков]

Apache Guacamole

[Ziptar]

Да, знаю, что RDP напрямую выставляют, меняя порт, но по сути это "безопасность основанная на незнании".

В лучшем случае это защита логов от слишком большого количества портящих настроение записей, это даже к security through obscurity отношения толком не имеет

Answer 1

[rze0]

ipban, port knocking, различные ограничения по ip

Answer 2

[TheBigBear]

В печально известные ковидные времена, когда понадобилось СРОЧНО за два дня усадить всех на удалёнку но при этом имея зоопарк операционных систем, причем некоторые не имели даже админских прав на своём же домашнем компе, выходом оказался ICMP Knocking
Три правила в файерволе Микротика и простейший БАТник, пингующий нестандартными пакетами сервер перед RDP подключением

Answer 3

[Drno]

Любой ВПН который по вкусу
Любой p2p протокол который по вкусу - зеротиер \ тейлскейл \ netbird youngrasill \ nebula slack итд...

Хотите беслптано - настраивайте сами любой опенсорсный вариант
От РКН вас в любом случае особо никто не спасёт, да и прямое РДП (по внешке) РКН вполне себе успешно умеет ломать внутри страны)

Ну или платные варианты -

spoiler

https://productlab.one/giraffic

Vipnet

чёт там еще от госух наверно...

Answer 4

[Quqas]

RDgateway на нестандартном порту
трата денег на доменное имя для серта. если только не научить самописный ставить. ну win server бесплатно или нет самому решать

Comments

[Евгений]

Зачем RDGW на нестандартных портах?
Стоимость доменного имени 200р. в ПЕРВЫЙ год.
У автора уже есть роль TS.
Осталось только RDGW изучить.
Поднять L'E на нем дело 5 минут.
И можно забыть про самоподписаные сертификаты.

[shurshur]

Нестандартные порты давно уже не спасают от обнаружения.

[Олег]

Lets Encrypt уже может на IP адрес серт выдавать.

Answer 5

[Юрий MikroTik]

L2TP не безопасный если он без IPsec используется. А так еще есть SSTP.
Если интернет на юр.лицо - оформляешь заявку в РКН, чтобы не блокировали впн протоколы на твоих IP.

Answer 6

[Dieman666]

несмотря на большое заблуждение, исходящее от незнания, как ещё защитить рдп, кроме как впн, работа рдп без впн в относительной безопасности возможна:
1. накатываем обновку последнюю стабильную на винсервер (винсервер минимум 2016, а так лучше 2019)
2.меняем логины и пароли на сложные (не только пароли, но и логины). user/@ser123 или administrator/@dmin123+- не подойдут, слишком легкие
3. настраиваем шифрование rdp и проверку подлинности на уровне сети (обязательно) в политиках
3. меняем порт со стандартного 3389 на кастомный
4. ставим софт от брутфорса (rdpguard 6.7.5/ipban, или их аналоги) ни в коем случае не выключаем встроенный фаер и uac
5. юзаем remoteapp, а не rdp
6. не раздаём юзерам админские права.
7. настраиваем бэкапы в несколько мест (Effector Saver/Iperius Backup или их аналоги) на другой комп по сети (сбор из шары по онли админской учётке в нерасшаренный комп в изолированной сети) + в облако, бэкапы обязательно должны быть в шифрованном парольном архиве.
p.s. у меня уже более 30 серваков подобным образом поднято в разных местах без впн, половине из них уже около 5 лет, полёт нормальный, без взломов