Комментарии 58
При включенном NLA (что windows давно делает по умолчанию) насколько я понимаю никогда уязвимостей не было, плюс с включенными апдейтами оперативно исправляются и остальные "угловые ситуации", так что для личного пользования я лично не гнушаюсь открывать RDP "в интернеты". Так сказать указываю возможную мотивацию для использования напрямую. :)
А использование нестандартного порта просто делает сервер практически необннаруживаемым.
У нас 2 года назад взломали доступ по RDP и внедрили шифровальщик. Хорошо, что у взломанного пользователя никуда к важной инфраструктуре доступа не было. Так что, ущерб был минимальным.
А порт был, таки, нестандартным… да.
Прошли те времена, сейчас находят и брутят рдп и на чужих портах
Обычно поиском доступных серверов с RDP занимаются для продажи доступа всяким майнерам. От них легко защититься нестандартным паролем и ограничением прав учётной записи. Ну и в принципе защита на самом сервере стандартными антивирусными практиками.
А если у злоумышленника цель: получить доступ к серверам компании, то тут уже просто включается борьба «стоимость защиты против стоимости выгоды от взлома». А если цель: любой ценой, то извините, даже VPN не панацея.
Стойте-стойте. Так мы все же о домашнем использоаании или про "число корпоративных серверов, доступных для злоумышленников из интернета" в пугающую эпоху "глобальной пандемии"?
Зачем они вообще тогда были добавлены в статью? С той же степенью информативности можно было ещё пару ландшафтных фото использовать.
OpenSSH есть даже в десятке. Иногда кобызится с ключами работать, надо через icacls права на ~/.ssh/authorized_keys править, но в целом великолепная вещь когда надо и безопастно и прокинуть что угодно. На роутере порт пробрасывается до ПК и вот вам счастье. Уже даже VS Code допилили до возможности с виндой по Remote SSH полноценно работать.
А ещё есть весёленький p2p vpn — tinc.
Со стороны организаций же выталкивать в мир RDP — это реально странно и стрёмно.
Когда волна начнет спадать, я также жду роста спроса на (в особенности защищенные) инфраструктурные решения и продукты. В первую очередь в госсекторе. Цифровизация должна пойти в гору на повышеных оборотах. Нашему брату от этого только польза.
1. Чем подбор пароля от RDP сложнее чем подбор пароля от VPN?
2. Чем уязвимость в софте RDP отличается от уязвимости в софте VPN?
3. Ну и в итоге на основании предыдущих пунктов: Чем безопасность подключения по VPN надежнее чем по RDP? При том, что взломав VPN злоумышленник не просто получает доступ к ПК, но и ко внутренней сети.
- Тем, что при VPN логин+пароль+ключ.
Логин+Пароль VS Логин+Пароль+Ключ. Других принципиальных отличий по безопасности нет, и я рад, что здесь достаточно компетентный народ, который с пунктом 2 не спорит.
Но, что мешает нам поставить на RDP пользователя длинный пароль? Windows поддерживает макс длину до 127 символов, такой пароль на современных компьютерах подобрать невозможно, его легко сгенерировать, а человеку выполняющему подключение, без разницы, какой длины будет copy/past в строку пароля (мы понимаем, что для RDP заводится спец. пользователь с требуемыми правами).
Соответсвенно, сравниваем 2 конфигурации:
1. RDP с длинным паролем напрямую через интернет.
+ Не требуется лишних телодвижений весь ф-ционал настройки RDP доступен из коробки в Windows.
2. RDP через VPN
— Кроме RDP требуется дополнительная установка/настройка VPN
— Подключение работает медленнее, так как кроме стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование.
— При взломе VPN, если он настроен по умолчанию (или не достаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом теоретически можно получить доступ ко внутренней сети).
Как мы видим, обе конфигурации обеспечивают примерно одинаковый уровень безопасности, но вариант «RDP с длинным паролем напрямую через интернет» однозначно выигрывает.
По сему, главный посыл статьи, о том, что RDP напрямую с выходом в интернет – опаснее, чем через VPN, считаю не верным, при условии правильной настройки RDP.
ТОгда мы получаем сумму времени взлома впн и рдп.Теоретически да, если пытаться честно брутфорсом подбирать пароли/ключи то получаем увеличение времени, но по факту даже просто длинный пароль 64 и более символов на RDP подобрать не реально, зачем городить еще доп нагрузку в виде VPN?
А если не честно ломать, через дыры в ПО RDP или VPN, то разницы защиты нет, хакер получает доступ с root к системе и делает всё что ему нужно…
Ну и приправить Port Knoking'ом и Fail2ban'ом.
А если белому списку IP-адресов открыть только доступ к RDP? Это решит проблему безопасности?
У меня 15 сотрудников на удалёнке. Из них у троих только динамический ip. Для них я внёс всю подсеть x.x.x.0/24. А у остальных статика. Сейчас статика — обычное дело, как я погляжу.
Обычным делом статика была лет 15 назад. Сейчас обычное дело — nat.
Ну работает же)
Вобщем, не надо выдавать ошибку выжившего за общую практику.
Тогда впн на кинетике, как уже тут говорили.
Детей со стороны удаленного работника?) Ну там фильтрация есть.
Вы имеете в виду ноутбуком обеспечивать с заранее установленным дистрибутивом? И что там будет, отличного от его винды? Или вы хотите ему Линукс поставить?? Продажникам?.. Ну-ну...
Где-то видел даже онлайн-генератор такого, но не факт, что сейчас найду — мне было не актуально ещё когда настраивал, а теперь на новой работе всё по-другому…
Да не их кинетик. На их компе в два касания устанавливается l2tp.
Да. От pptp отказался уже давно. А l2tp-соединение появляется в соединениях WiFi. Соединяется так же: кликнул/подключиться — все.
А запуск под виндой везде более-менее одинаков, по-моему.
Так я и говорю: кинетик на стороне офиса с поднятыми туннелями. В винде л2тп подключается к рабочему роутеру.
Но идея мне нравится, чем-то напомнила включение-выключение доступа у одного из местечковых провайдеров — вход putty на шлюз, где шеллом стояла программка, показывающая, сколько байтов утекло и кнопкой «выкл интернет», закрывающей соединение и, соответственно, пока та программка запущена — был разрешен доступ дальше.
Про удаленку, незащищенный RDP и рост числа серверов, доступных из интернета