Комментарии 38
Выбрал "Другое". Всегда стараюсь использовать шлюз RDGW, если такой возможности нет, и RDP торчит наружу, то использую Honeyport + Port Cnoсking, и RDP порт само собой не стандартный. Реализована даная связка на Mikrotik.
Доступ через Remote Desktop Gateway.
А там, где прямой проброс, дополнительно установлен Cyberarms Intrusion Detection. Например, после трёх неверных вводов, IP лочится.
Дальше запускается стандартный перебор паролей, так называемый брут-форс.
Винда в дефолтных настройках после 10 вводов делает КД на 5-10 с. т.е. условный 8-знак все равно будет перебираться годами.
В теории да, но по факту мы имеем каждый день взломанные учетки по RDP
Уже не раз на моей памяти обнаруживались дыры в RDP протоколе, в т.ч. нулевого дня, и сложность логинов-паролей никак в них не фигурировала, достаточно порта RDP "голым задом" в Интернете, чтобы получить первую картинку поста. Зашёл на первый попавшийся Микротик с белым айпи, и только по примитивной приманке из пяти стандартных портов за месяц 1230 IP в бане.
Просто создайте для админа другую учетку, а встроенную отключите. Атакуют по номеру SID, а у встроенноего админа SID всегда одна и та же и заведомо известна.
Использую бесплатный VeeamPN для генерации VPN сертификатов. Смог продавить идею, что подключаться можно только через VPN к корпоративной сети, а там уже пусть запускают RDP до нужных им виртуальных машин.
Почему не рассмотрен вариант 2FA?
Добавил бы еще IPBan (аналог Fail2Ban). Мониторит подбор паролей и отправляет IP в бан.
Кроме того, на роутере добавить бан всех входящих соединений, если они не из России (90% атак идут с других стран).
Пользую несколько лет, снижает количество попыток на порядок.
Я писал про свой опыт тут:
habr.com/ru/post/487056
установите ограничение на количество попыток ввода пароля тремя, максимум, пятью попытками
Ага, это прям удобный способ DOS-ить ваших пользователей. Любого пользователя можно заблокировать и путь ищет админа…
а что мешает создать RDP подключение с сохраненным паролем? И если сотрудник не может запомнить свой собственный пароль который сам придумал - может проще сотрудника нового поискать чем админа?
А про то, что если «установить ограничение на количество попыток ввода пароля», то злоумышленник, зная username пользователя может легко заблокировать (DOS — Denial Of Service) его (чужую) учётку.
А не лучше тогда настроить SSO для пользователей?
Ведь в сетях с windows+ad вроде можно так делать. Куда пользователю можно ходить - туда он без пароля и зайдёт.
Блокируется не пользователь, а IP атакующего.
Представьте, что кто-то получил ваши логины и заблокировал их все. Как будете заходит в домен/комп?
Назначение блокировок — сделать перебор очень долгим, т.е блокировка на 10 минут после 5 неправильных логинов вполне поможет.
Да, и если вы в проде в организации >400 человек выставите блок после 3 попыток на 9000 минут, сотрудники техподдержки скажут вам «большое спасибо» и кол-во решенных заявок сильно увеличится
Совет изменить стандартный порт RDP 3389 на какой-нибудь другой уже не актуален несколько лет: различные программы, те же zmap/nmap позволяют просканировать все IP адреса в сети Интернет в течение суток и выяснить какие порты открыты на вашем устройстве.
Обычно переборные атаки принято детектировать и запрещать на маршрутизаторе.
Не всегда есть возможность это сделать, некоторые организации даже при количестве сотрудников >80 используют обычный домашний роутер. Я решил дополнить статью IPban'ом. Думаю, сегодня и допишу
Микротик например не умеет определять правильный ли пароль на rdp ввел пользователь. Только перевешивать порт а на стандартный вешать ханипот с баном по ip
Кстати, забыл добавить. Для тупого детекта брута создал с два десятка фейковых учеток по типу Админ, босс, бухгалтер и т.д.
А далее детект блокировки и выявление источника.
RDGW + VPN + фильтр по ip(на всякий случай)
1) На корп. портале тыкаем в кнопку, IP добавляется на mikrotik в ACL
2) Remote Gateway на не стандартном порту
3) Honeyport с блоком для 3389
В целом, хватает.
Эффективная защита RDP «на минималках», ч.1