Pull to refresh

Comments 19

Видимо для многих компаний VPN еще не изобрели. Жаль.
так тут же говорилось про vpn. по сути предлагали vpn, а внутри rdp

а так в основном реклама тут — все известно уже
С vpn тоже не все просто. Подбор паролей к rdp меняется на подбор паролей к vpn. И я не уверен, что это лучше, потому что часто впн воспринимается как волшебная таблетка и все что внутри впн считается априори доверенным. А поэтому часто пренебрегают безопасностью самих серверов — считая, что раз они внутри впн только доступны, то и защищены абсолютно.
Я бы сказал так: что vpn, что rdp надо защищать от брутфорса. Примерно одинаковыми концепциями.
Вам стоит получше прокурить тему про VPN.

Что бы начать подбор паролей, нужно сначала поиметь приватный сертификат, который может быть как общий для всех пользователей конкретного VPN сервера, так и индивидуальный у каждого пользователя. И только после того как вы покажете сертификат, вам разрешат предоставить логин и пароль. По этой причине никто не брутфорсит подключение к впн серверу как таковое, это бессмысленно.

Так же подключившись к VPN обычно попадают в выделенный изолированный сегмент сети, и которого обычно доступны только нужные адреса сервисов и их порты. Например, исключительно ваш рабочий ПК и только порт 3389. Для вашего коллеги может быть доступен только терминальный сервер.

Поэтому VPN это хорошо и правильно. И если прямое подключение по RDP, при условии ограничения в фаерволле по списку белых адресов, с натяжкой допустимо, то отсутствие VPN при необходимости цепляться откуда угодно — за это сразу можно бить по рукам молотком ответственному недоспециалситу. Ибо оправданий такому нет.
это самый дельный комментарий -) и добавить тут нечего. Наличие сертификатов не много усложнит жизнь саппорта на момент установки, но на много повысит безопасность в целом. Единственный момент — общие сертификаты это зло — если придётся отзывать, то всем придётся перевыпускать и ставить новые. А на некоторых устройствах это может быть ещё тем гемороем.
Когда началась вся эта эпопея с удаленным доступом сделали как подсказывает логика: пользователь запускает VPN, потом в этом туннеле запускается RDP сессия. В итоге нормально работать не получалось, присутствовал вполне заметный лаг. Заменили VPN на прямое подключение через Remote Desktop Gateway и решением уже можно пользоваться. Работать намного комфортнее.

« Давать доступ к данным только белому списку IP-адресов — тоже достаточно сложная вещь в условиях удаленки и домашних офисов — IP может плавать»


Как вариант тут тоже поможет VPN. Сперва вы подключаетесь к VPN и получаете IP адрес который разрешён для подключения к RDP, а потом подключаетесь уже к RDP.
Этот вариант конечно «костыльный», но все же лучше чем ничего.

Капитан рчевидность. Вариани с активным хонепотом, чуть сложнее но сильно эфективнее например. Но его нет в методичках :)

блокирование IP — в случае серьезных противников может быть бесполезным, а то и опасным.

Что-то слишком много маркетинкового шлака в статье.

И тем более это сложно, если IP специально скрывается.

Как можно скрыть IP адрес? Автор вообщем понимает что он пишет? Прям какое-то новое слово в администрировании сетей.

К тому же блокировка отдельных IP на сервере Windows — не такая уж простая задача.

Сложно? Ставим вот эту open source утилиту: github.com/digitalruby/ipban
Инсталлируется одной командой PowerShell'a. И всё работает из коробки.
И получается вот так (это мой опыт):
image

Больше подробностей вот здесь:
habr.com/ru/post/487056

А на основе чего сделана эта 2fa? А то на телефоне не особо видно на видео.
Не Duo случайно?

Ставим vpn по сертификатам, ставим fail2ban, настраиваем обновление софта, high availability, лимитируется количество подключений к ВПН с одного аккаунта. Делаем tls веб сервис fail2ban + логин/пароль + 2fa totp, делаем 5 автоматизации для настройки ВПН с выдачей сертификатов, которые этим веб сервисом и отдаются. Делаем одну инструкцию на веб сервисе, как зайти в веб сервис и 5 картинок для разных ос, как запустить ВПН. Отправляем всем на почту коды генерации тотр и ссылку на веб ресурс.

На рутрекере банят повторы раздач. Очень хорошая практика.

Если вопрос с удаленной возник когда УЖЕ ГОРИТ, то человек все равно будет совершать ошибки. Как всегда: такие вещи нужно планировать и обкатывать ещё до часа Х. Лично мне понравилось реализация личного пароля + rsa token для установки vpn. И это только первый этап аутентификации))

VPN на не доверенных устройствах не лучшее решение без применения средств управления этими устройствами (MDM). Далее, почему обсуждая RDP не говорите о службе RDG, которая шифрует трафик RDP по HTTPS. И то, что к RDG можно применить MFA/2FA также не упоминаете. Поэтому всем интересующимся этим вопрос предлагаю ознакомиться с дешовым онпрем решением n-k.to/mfa
RDP Defender — в качестве простой и бесплатной меры, он закроет 90% атак…
а так VPN только
Где найти RDP Defender? Я гуглил, и выглядит, как будто сегодня за RDP Defender хотят $$$
понравилось «Как понять, что RDP-атака началась» предполагаю что автор давно не смотрел как боты щас работают. Как правило последний год боты ломятся тихо и аккуратно, и в основном по ночам если возможно. Все для того чтоб нельзя было заметить долбление в дверь.
VPN не для каждой компании вариант. Удаленка уже почти два года работает на гуакамоле через nginx с ssl никаких долблений. В наше время проще для админа все в онлайн переводить чем VPN делать и объяснять каждому сотруднику как оно работает…
Only those users with full accounts are able to leave comments. Log in, please.