Какие есть варианты (лучше бесплатные) выставить RDP наружу так, чтобы защитить от взлома?

Question

[Сергей Сахаров]

Разумеется, есть вариант поднять VPN-сервер и пускать только его клиентов. Но PPTP и L2TP уже не считаются надёжными, а предлагать клиентам самостоятельно настроит OpenVPN -сомнительно. Да, знаю, что RDP напрямую выставляют, меняя порт, но по сути это "безопасность основанная на незнании". Хотелось бы послушать специалистов.
Кроме того, я слышал, что РКН не умеет работать и может блокировать все протоколы VPN даже внутри страны. Надеюсь что только пока. Континент-АП платный. В общем, какие средства использовали бы Вы лично, чтобы выставить свой собственный сервер терминалов в Интернет?

Comments

[Adamos]

я слышал, что РКН не умеет работать и может блокировать все протоколы VPN даже внутри страны

Кто вам сказал такую глупость?
РКН умеет работать и может блокировать все протоколы и все адреса именно поэтому.
А _на ваши интересы_ он работать как-то и не собирался.

P.S. Я лично вот прям сегодня по этому поводу настраиваю self-hosted RustDesk. Но у меня винды низкоприоритетны.

[Zerg89]

Или self-hosted Aspia клиент и сервер сами шифруют соединения по tls, в основе rdp

[Дмитрий]

Настройка OpenVPN у клиента вообще-то может быть сведена к установке ПО, импортированию единственного файла конфига, содержащего параметры и ключи шифрования, и опционально - вводу пароля от сертификата. Это совсем не сложно. Другой вопрос, что OpenVPN работает уже не гарантированно.

[Дмитрий]

Adamos, RustDesk если под RDP подразумевается терминальный многопользовательский доступ (на что намекает упоминание клиентов), то RustDesk не подойдет. Хотя я тоже настраивал его self-hosted не далее как на прошлой неделе, для техподдержки. Ибо AnyDesk все чаще отказывается работать.

[Евгений]

А чем не устраивает стандартный Шлюз удаленных рабочих столов?
Он без домена может работать.

[Роман Безруков]

Apache Guacamole

[Ziptar]

Да, знаю, что RDP напрямую выставляют, меняя порт, но по сути это "безопасность основанная на незнании".

В лучшем случае это защита логов от слишком большого количества портящих настроение записей, это даже к security through obscurity отношения толком не имеет

[maksd_gt]

У нас админы используют рудесктоп. AnyDesk не пашет регулярно.

[ShpurloS]

Если сервер находится за роутером поддающимся тонкой настройке (mikrotik или на openwrt) - можно рассмотреть доступ на сервер через port knocking. Если роутера перед ним нет, как вариант, можно в hyper-v развернуть виртуальный роутер.
Ну и базовые вещи: хорошие пароли, нестандартные названия учётных записей, альтернативный порт, ipban, обновлять систему регулярно.

[Антон]

Apache Guacamole + fail2bann

[Welaps]

Radmin-Vpn совсем не рассматриваете? Вроде и шифрование есть, и логи не отслеживают.

[killpidix]

1) RDP шлюз. его можно спрятать практически за любой балансер, чтобы не ставить компьютер с самим шлюзом наружу
2) SSTP в качестве VPN

вот вам целых два способа с разным подходом

[Сергей Сахаров]

Welaps, а как у Radmin-VPN обстоят дела с поддержкой Linux?

[Welaps]

Сергей Сахаров, ИИ пишет: "Официальной полноценной версии Radmin VPN с GUI (графическим интерфейсом) для Linux не существует — программа разработана только для Windows. Для создания виртуальных сетей на Linux обычно используют аналоги: ZeroTier, Tailscale или SoftEther. Прямой запуск через Wine не гарантирует стабильной работы. "

[Welaps]

Здесь еще посмотрите

[Welaps]

https://2gc.ru/blog/article-50/

[p4L1ch]

я у себя как-то сделал на коленке примитивный вариант, сеть с rdp за микротиком

на сайт написал простой php скрипт с интерфейсом таймером, и кому нужно раздал линк, при открытии ссылки ip пользователя сохраняется в txt, в сети с rdp серваком крутится простой python скрипт - каждую минуту чекает свой линк с php, получает список ip и txt затирается, потом всем этим ip на микротике добавляет разрешение на 6 часов к порту, чтоб пропускал, а кого в списке нет - всех отсекает
при обращении к сриптам оповещения в телегу на всякий случай

[Kastrulya0001]

Прикрой нокноком. Дешево и сердито.

Answer 1

[Quqas]

RDgateway на нестандартном порту
трата денег на доменное имя для серта. если только не научить самописный ставить. ну win server бесплатно или нет самому решать

Comments

[Евгений]

Зачем RDGW на нестандартных портах?
Стоимость доменного имени 200р. в ПЕРВЫЙ год.
У автора уже есть роль TS.
Осталось только RDGW изучить.
Поднять L'E на нем дело 5 минут.
И можно забыть про самоподписаные сертификаты.

[shurshur]

Нестандартные порты давно уже не спасают от обнаружения.

[Олег]

Lets Encrypt уже может на IP адрес серт выдавать.

[pfg21]

когда с обоих сторон канала свои проги можно и на самоподписных сертификатах выехать.

[check197]

опенсорсная альтернатива RDGW: github
Вот кейс: ссылка

Answer 2

[TheBigBear]

В печально известные ковидные времена, когда понадобилось СРОЧНО за два дня усадить всех на удалёнку но при этом имея зоопарк операционных систем, причем некоторые не имели даже админских прав на своём же домашнем компе, выходом оказался ICMP Knocking
Три правила в файерволе Микротика и простейший БАТник, пингующий нестандартными пакетами сервер перед RDP подключением

Answer 3

[rze0]

ipban, port knocking, различные ограничения по ip

Comments

[pfg21]

учитывая что %ТС% на винде, не надо забывать про пинг-кнокинг. винда штука неумелая только ping и имеется.

[Сергей Сахаров]

pfg21, не факт, RDP можно и на *nix поднять. Я рассматриваю любые варианты.
А вот как ограничения по IP на роутере ASUS делать - это, конечно, вопрос...

[pfg21]

Сергей Сахаров, рдп на никсах бессмысленнен, ибо будет один из кучи протколов, хотя наверное кто и прикручивал по интересу. в винде альтернатив рдп нету, ибо микрософт сказал "так и никак иначе" :)
если в асусе есть cli, хотя б телнетовский, можно было заскриптовать.
как вариант опенврт - он может всё !! и еще тележку сзади :)
но это, соласен, усложнения. однако защита будет бронебойной.

[Сергей Сахаров]

pfg21, не согласен! Если клиент на винде, то коннектиться по RDP на сервер терминалов без установки левых программ - маст хэв.
У нас такое даже на работе используют. У нас в двух ДЦ около 300 ТС и в последнее время появляются в том числе и линуксовые.

[pfg21]

Сергей Сахаров, дык и я о том же. если цель винда, то рдп, альтернатив мало :)
в линухе куча протоколов начиная с элементарнейшего ssh :)

[Сергей Сахаров]

Ну в винде-то PuTTY есть, но иногда с винды надо в графику - и VNC не вариант.
Допустим, если на работе есть закрытый от интернета корпоративный веб-портал. Не через links же на него лазить :-)
В этом плане RDP как бы кроссплатформенный. Почему и интересуюсь.

Answer 4

[Dieman666]

несмотря на большое заблуждение, исходящее от незнания, как ещё защитить рдп, кроме как впн, работа рдп без впн в относительной безопасности возможна:
1. накатываем обновку последнюю стабильную на винсервер (винсервер минимум 2016, а так лучше 2019)
2.меняем логины и пароли на сложные (не только пароли, но и логины). user/@ser123 или administrator/@dmin123+- не подойдут, слишком легкие
3. настраиваем шифрование rdp и проверку подлинности на уровне сети (обязательно) в политиках
3. меняем порт со стандартного 3389 на кастомный
4. ставим софт от брутфорса (rdpguard 6.7.5/ipban, или их аналоги) ни в коем случае не выключаем встроенный фаер и uac
5. юзаем remoteapp, а не rdp
6. не раздаём юзерам админские права.
7. настраиваем бэкапы в несколько мест (Effector Saver/Iperius Backup или их аналоги) на другой комп по сети (сбор из шары по онли админской учётке в нерасшаренный комп в изолированной сети) + в облако, бэкапы обязательно должны быть в шифрованном парольном архиве.
p.s. у меня уже более 30 серваков подобным образом поднято в разных местах без впн, половине из них уже около 5 лет, полёт нормальный, без взломов

Comments

[Сергей Сахаров]

Благодарю за столь подробное изложение!

[Quqas]

- нельзя разделить remoteapp и права на вход в принципе

- хотя если remoteapp устраивают - web client в самом деле выход

Answer 5

[elcanner]

Пойдем от сложного к простому:

1) Все выдумывают велосипеды, оказывается для защищенного соединения с гарантированной защиты от мамкиных хакеров уже все давно есть и придумано до нас... называется SSH. Нужен конечно белый IP.
Я сам пользуюсь RDP по SSH тунелю. SSH сервер устанавливается даже в винде в 2 клика.
Клиент SSH уже есть в винде изначально. Осталось сделать SSH тунель. На роутере никаких 3389 не прокидываем, а прокидываем 22-й порт (или любой другой) на 22-й порт винды.
Пример запроса на SSH тунель в Powershell
ssh -L 0.0.0.0:3389:127.0.0.1:3389 -p 22 @

На RDP клиенте подключаемся на 127.0.0.1, попадаем на удаленную винду.
PROFIT!

2) С другой стороны если у тебя есть белый IP, то не проблема установить VPN, тот же Wireguard. Делается это за 10 минут. Мануалов тонна, работает прекрасно, клиент есть на всё, даже на кофеварку. В чем проблема в такой схеме ?

3) Но конечно надо уже заканчивать заниматься извращениями и использовать современные инструменты, к примеру RustDesk

Answer 6

[Drno]

Любой ВПН который по вкусу
Любой p2p протокол который по вкусу - зеротиер \ тейлскейл \ netbird youngrasill \ nebula slack итд...

Хотите беслптано - настраивайте сами любой опенсорсный вариант
От РКН вас в любом случае особо никто не спасёт, да и прямое РДП (по внешке) РКН вполне себе успешно умеет ломать внутри страны)

Ну или платные варианты -

spoiler

https://productlab.one/giraffic

Vipnet

чёт там еще от госух наверно...

Answer 7

[Юрий MikroTik]

L2TP не безопасный если он без IPsec используется. А так еще есть SSTP.
Если интернет на юр.лицо - оформляешь заявку в РКН, чтобы не блокировали впн протоколы на твоих IP.

Answer 8

[PAPIruss]

Прочтите статью возможно Вам поможет.

Comments

[Сергей Сахаров]

Спасибо, интересно, но микротика у меня нет.

[PAPIruss]

Хороший повод приобщиться)
Если знакомы с облаками можно очень за недорого поднять микротик в облаке и настроить редирект на свой RDP. На штатном файрволе RDP разрешить подключаться только с IP адреса микротика. Но нужны все же навыки работы в IT выше средних. Для домашнего пользователя все это сложновато (((

Answer 9

[qrKot]

Вопрос из разряда "как безопасно высунуть голый зад на улицу". Очевидно, никак.
Только в шифрованной туннеле: vpn/ssh/пофиг что ещё.

Answer 10

[neo_1]

Как вариант можно поднять xray-core на порту 443 с маскировкой под HTTPS.
Очень гибкий, мощный инструмент если умеете пользоваться.

Comments

[MirrorTor]

Да никто не умеет им пользоваться, слишком сложно. Ни ты, ни даже разрабы приложух под него. Даже на китайском нет полного гайда, о чем ты вообще

Answer 11

[Proper2020]

Нет такого метода, на любом порте обнаружат и атакуют. Лучший способ через vpn канал. Лучше на IKEv2