Как безопасно раздать интернет с телефона, чтобы удалённо никто не смог подключиться?

Question

[Георгий]

Добрый день.
Предыстория:
С недавних пор стал работать в инфекционной больнице системным администратором, когда ввели карантин - пришлось съехать от семьи, чтобы не подвергать их риску.

Состояние сети на текущий момент:
В новом "доме" есть системный блок с windows 7, без монитора и ноутбук с ubuntu 16.04 раздаю интернет с телефона -> ноутбук его цепляет и раздаёт на системник. Управляю системником по RDP (remmina) через ноутбук.

Суть вопроса:
Что мне сделать, чтобы из интернета не возможно было подключиться по RDP к моему системнику? Удалённое управление системником с ноутбука необходимо сохранить, интернет на системнике не принципиален.

Печальный опыт, чего боюсь:
На работе старший программист пробросил порт на роутере, чтобы из дома настроить сервер, этим воспользовались злоумышленники и буквально за несколько часов сервер перестал нам принадлежать, они подключились по RDP и заархивировали всю информацию, оставив текстовый файл с требованиями денег за пароль от архива. Я боюсь что мой системник постигнет та же участь.

Заранее спасибо за ответы.

Answer 1

[Drno]

Вы же работаете ИТшником.... эта информация, которую Вы должны знать...

Никто к Вам не подключится, у моб телефонов серые ip адреса. К ним невозможно подключиться

Как в случае с програмистом они взломали rdp? Был простейший логин / пароль?
Там есть защита от перебора паролей, надо было настроить правильно

Вообще rdp в «мир» обычно не открывается, только через vpn

Comments

[Георгий]

Вы же работаете ИТшником.... эта информация, которую Вы должны знать...

Я бы с удовольствием почитал на эту тему литературу, в интернете нашёл только воду, может подскажете на что обратить внимание? Может учебник какой-то где между прочим освещается и этот момент?

Никто к Вам не подключится, у моб телефонов серые ip адреса. К ним невозможно подключиться

Спрашивал об этом старшего программиста, он говорит, что серые ip адреса - это белые ip только со временем аренды (сутки или около того), он говорит что за сутки смогут подключиться и взломать.

Как в случае с программистом они взломали rdp? Был простейший логин / пароль?
Там есть защита от перебора паролей, надо было настроить правильно

Похоже защита от перебора была отключена или упрощена, но это не точно , логин и пароль были не тривиальные.

Вообще rdp в «мир» обычно не открывается, только через vpn

Согласен с вами, но старший программист говорит, что в телефоне всё устроено не совсем так, как в роутере, поэтому порты открыты и ломануться всё равно могут, даже если в мир rdp не отрыт.

[Drno]

RIBAdminio, насчет литературы - не подскажу. я всё изучал сам, фактически по месту первой работы(обслуживание юр лиц, в конторе работал), остальное гугл, и поднятие дома виртуалок, с последующей настройкой.

В телефоне все конечно немного по другому, но общая схема ВСЕГДА такая, если Вы не просите у провайдера другую.
Телефон (роутер) > ближ шлюз порвайдера (баз станция(телефон), свитч на доме(если дом инет) ) > основной шлюз провайдера ( на котором он делает masquarade Вашего траффика) > интернет
У провайдера ограниченное число белых IP , поэтому почти все юзеры выходят в инет через одинаковый белый IP (понятно что они делятся по сегментам, но по сути так). К примеру у моего провайдера на 1 то ли многоэтажный дом, то ли "район" - 1 белый IP (у нас 600 квартир на секундочку, только в нашем доме)
Шлюз провайдера помимо пуска Вас в инет выступает в роли firewall. И по умолчанию работает по схеме - любой траффик выпускаем, но никого внутрь не пускаем(так же настроены дом роутеры с завода)
Исходя из всего этого , даже если ломиться на белый IP , который вам покажет к примеру сайт 2ip или speedtest, злоумышленник в первую очередь попадет на firewall на шлюзе провайдера, который пошлет его нахрен... если только Вы не купили услугу "белый IP", тогда шлюз переадресует запрос на купленный Вами адрес, а дальше уже ваша задача, знать что с таким запросом делать.

Еще коммент про програмиста. Его задача писать программы, и не думать про настройки серверов. Поэтому в настройках его компетенция минимальна. Обычно программеры не знают как что и где настраивается. они в ИТ лопухи
Это прямая задача сисАдинистратора. Сделать "просьбу" по поводу например удаленки, но сделать это безопасно и на своих "правилах"

[Георгий]

Спасибо большое за подробно изложенную информацию.
Буду знать.

[Drno]

RIBAdminio, по сути все ответы есть в гугле. главное научиться правильно формулировать вопрос))

Answer 2

[АртемЪ]

На работе старший программист пробросил порт на роутере, чтобы из дома настроить сервер, этим воспользовались злоумышленники и буквально за несколько часов сервер перестал нам принадлежать, они подключились по RDP и заархивировали всю информацию

Это говорит о том, что администратор лопух. Нельзя давать программистам доступ к таким настройкам.
Там пользователь был Администратор и пароль в стиле 123. Поэтому и подключились.
Если уж открываете RDP наружу - потрудитесь настроить безопасность, и проследите чтобы пароли были нормальные в стиле - aY85$6fjg3,E

Что мне сделать, чтобы из интернета не возможно было подключиться по RDP к моему системнику? Удалённое управление системником с ноутбука необходимо сохранить, интернет на системнике не принципиален.

Мой компьютер- ПКМ - удаленный доступ - убрать галку разрешающую удаленные подключения.

Я боюсь что мой системник постигнет та же участь.

Те, у кого нормально настроен бэкап не бояться этого. Ибо без проблем восстановят данные из бэкапа.

Comments

[Георгий]

Мой компьютер- ПКМ - удаленный доступ - убрать галку разрешающую удаленные подключения.

Но ведь тогда я потеряю возможность управлять системным блоком через RDP. Хотелось бы сохранить возможность удалённого управления.

[АртемЪ]

RIBAdminio, В таком случае нормально настройте безопасность.
Как минимум проверьте чтобы у всех пользователей удаленного рабочего стола были нормальные пароли - не менее 8 знаков, разный регистр букв, цифры, спецсимволы.
И включите проверку подлинности на уровне сети.
Это как минимум. И это отсекает 99% всех взломщиков.

По нормальному - грамотно настроенные права, ограничения по IP адресам для администраторов, port-knocking, и.т.п.

[Георгий]

Спасибо, буду смотреть в сторону найстройки прав.

Последний вопрос - что вы подразумевали под ограничением по ip адресам для администраторов?
Это что-то вроде фаервола, который запрещает подключаться по RDP с других ip адресов?

[Drno]

RIBAdminio, да, он про ограничение по IP либо по подсетям ( к примеру разрешить RDP только из локальной сети сервера), либо только с Вашего белого IP

[Георгий]

Спасибо, буду разбираться

[АртемЪ]

RIBAdminio,
Итак по пунктам-
1. Назначаете пользователям сложные пароли - не словарные, и отвечающие требованям безопасности. Это главное.
2. Включаете проверку пользователя на уровне сети - это намного безопаснее ибо пользователь проверяется до подключения. При этом минимизируется возможность использования уязвимостей.
3) В брандмауэре windows по возможности добавляете адреса с которых можно подключаться - с других просто никто не подключится. Это не всегда возможно сделать, но хотя бы для администраторов такое можно устроить.
4)Настраиваете права пользователей и поменьше работаете под админом. Так же проверяете что UAK включен.
5)Для всех ценных данных должен быть настроен грамотный бэкап.

[Георгий]

Спасибо за подробную инструкцию.
Попробую реализовать.

Answer 3

[CityCat4]

Я боюсь что мой системник постигнет та же участь.

Это часть работы системного администратора - знать такие вещи, в тех случаях когда нет выделенного ИБ-шника (а такое очень часто)

1. у телефонов обычно (если сами не заказывали обратного, причем за деньги) серые IP, к ним невозможно подключиться, между Вашим телефоном и тырнетом - NAT опсоса.
2. для успокоения паранойи настроить на бубунте правило, блокирующиее RDP с интерфейса wifi. Можно вообще все запросы на установление соединения "изнаружи" слать в сад.

На работе старший программист пробросил порт на роутере, чтобы из дома настроить сервер, этим воспользовались злоумышленники

Такого прости-Господи-старшего-программиста надо в качестве профилактики отправлять работать санитаром. Пусть недельку помоет сортиры и повыносит горшки - это здорово помогает в переосмыслении своей значимости в мире :) RDP - излюбленная цель хакеров и "какеров", причем последних заметно больше чем первых.

Для удаленного доступа есть VPN
Для избежания таких вот "ситуэйшн" должен быть бэкап.

Answer 4

[Максим Иванов]

Вот так нетривиально обычный эникейщик с нулевыми знаниями именует себя системным администратором. Без обид. Тяга к знаниям - уже отлично. Посмотрел бы я в глаза ОК, который ввёл в штат должность «старший программист». Что-то мне подсказывает, что программы он ни одной не написал...
З.Ы. Добрым коллегам, отписавшимся в комментариях выше мое уважение. На все вопросы ответили, от себя повторюсь - через телефон Вы за натом провайдера, нет повода для волнений. Как правильно посоветовали - при беспокойстве отключайте чек-бокс в свойствах системы в удаленном доступе.