Задать вопрос

RDP через проброшенный порт или VPN, что опаснее?

Здравствуйте товарищи. Вопрос следующий.
В организации имеется терминальный сервер, доступ к которому нужен постоянно. От клиентов компании сотрудники подключаются и из дома. Надо обезопасить, вопрос следующий, изменять проброшенный RDP порт или настроить OpenVPN через проброшенный порт, и аутентифицировать по сертификатам. Если же VPN, то опасность заражения всякой шляпой становится выше. Подскажите товарищи гуру, как быть.
Спасибо
  • Вопрос задан
  • 14686 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 9
Для защиты от внешних атак на сервер конечно лучше поднять VPN, он станет дополнительной линией обороны. Злоумышленнику придется сначала прорваться через него, и потом уже атаковать сервер. Подразумевается, что через VPN доступен будет сервер и только он, иначе в случае взлома VPN опасности подвергнется вся локальная сеть.
Я так понимаю, у вас стоит задача обезопасить сервер в первую очередь от атаки со стороны пользователей, а при подключении в VPN сервер им станет доступен всеми открытыми на нем портами и запущенными сервисами?
Тогда можно защищать сервер файерволлом. А еще можно дополнительно защитить его "внутренним" шлюзом, и там уже пробросить порт RDP. Таким образом: пользователи сначала подключаются шлюзу по VPN, им становится доступен внутренний шлюз, на котором проброшен RDP порт от сервера.
Вирус-шифровальщик так все равно не победить, пользователь может запустить его непосредственно на терминале. И зашифрует свои файлы. От этого бекапы помогут в первую очередь, на антивирус полностью полагаться в данном случае не стоит.
Ответ написан
saboteur_kiev
@saboteur_kiev Куратор тега Системное администрирование
software engineer
А почему опасность заражения становится выше?

Пользователи ходят без админ-прав?
Антивирус какой-нибудь стоит, который мелочи будет ловить запуск вредоноса?

Какие еще угрозы?
Если на терминальном сервере не хранить документы, диски на буквы не мапить, то в крайнем случае профайл пользователя почистил, все, пусть заново заходит.
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
Поднять VPN на шлюзе, где нет винды. RDP на винду - это вектор атаки.
Ответ написан
@Tabletko
никого не трогаю, починяю примус
Делаете впн и через него разрешаете ходить только на терминал. Соответственно в терминале разрешен запуск только необходимых прграмм.
Ответ написан
Комментировать
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Изменение номера проброшенного порта на безопасность никак не влияет.

Если же VPN, то опасность заражения всякой шляпой становится выше.
Это бред какой-то.
На опасность заражения наличие или отсутствие VPN никак не влияет.

Безопасней использовать VPN.
Ответ написан
bk0011m
@bk0011m
Системный администратор
Вам нужно решить для себя, от каких угроз вы собираетесь защищаться. От внешних, внутренних или от всех.
Если от внешних - то однозначно вам нужно настраивать VPN. Да и при любом раскладе этот способ безопаснее.
Если от внутренних, то тут нужно включать параноика.
Если человек из-вне, через VPN ходит на RDP сервер, то значит никуда больше ему ходить не должно. Запрещайте все остальное. Файрвол вам в руки и антивирус на каждую машину.
Но нужно понимать, что любое подключение из вне, каким бы они не было - потенциальная дыра. И ее нужно защищать любыми способами.
Так же нужно ограничивать серверы для внешних подключений. Так как эти серверы тоже считаются не безопасными. А значит в ДМЗ их и запретить им все по максимуму
Ответ написан
Комментировать
@Proxopotamus
Дирижёр всея сети // Минск
В общем случае не вижу никакого смысла прятать rdp за vpn - перебор паролей будет идти и там, и там. Вы только усложните на пустом месте доступ сотрудников к своему серверу. Разумнее, как мне кажется, использовать двухфакторную авторизацию для логина на сервер.
Ответ написан
А в чем опасность? Что пароль подберут? Политика сложности пароля — раз, политика блокировки учетных записей при n попытках ввода неправильного пароля — два.
Ответ написан
@Keyfors
А если использовать технологию RDS gateway. И шифрование и сервер терминалов.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы