Закапывал, и не один, но ровно тогда, когда бюджет соответствовал. О чём, собственно я вам и пишу... Использовать корпоративную инфраструктуру для обеспечения безопасности в маленькой компании не получится - это реальность.
Да, а от прилетевшего трафика по попытке перебора паролей сертификаты не спасают и как итог в вашей схеме - тормоза в сессиях у удалёнщиков либо вовсе отказ в обслуживании. В вашу связку нужно одно звено минимум добавить, которое будет "отсекать плохих", если уж корпоративно так всё. Сертификаты вы тоже попробуйте настроить в односерверной конфигурации - то ещё развлечение. Велосипеды могут сколько угодно быть странными и небезопасными, но они работают и на них ездят иначе они были бы не востребованы.
Потенциально и у терминального сервера может быть зиродэй дыра. Даже с халёными сертификатами. Ботнетов, которые ковыряют апач на нестандартном порту пока не видел. Да и дописать в скрипт защиту от трёх 404 за 10 минут - не проблема.
Мне искренне жаль, что вы стали жертвой маркетологов. Распишете, пожалуста, на пальцах чем подход "Подключиться с сретификатом под Win11" особо "безопасней и лучше" варианта, описанного мной ниже (открытие порта через веб и подключение с самоподписанным сертификатом)?
Ссылку открыть через браузер перед RDP - очень сложно? 5 неверных попыток и до свидания - куда до свидания? На уровне фаервола вы забанить сможете только через самописные костыли. При работе ботнета подбор производится с сотен ip и в большинстве случаев быстрее происходит замедление аутентификации лигитимных подключений или таймауты AD, в случае разгильдяйства откровенного могут и пароль подобрать. То, что у вас ни один из серверов - ошибка выжившего, не более.
Вы рассматриваете какой то корпоратив корпоративный, где ноуты, как горячие пирожки выдают настроенные с блэкджэком и куртизанками. В реальности есть куча ситуаций, когда люди используют личные устройства (домашний ноут с WinXP живым на борту, макбук на который свежий RDP клиент просто не встаёт), а им работать надо. Удаленно подключиться, сделать бухгалтерские документы и 100500 ещё других дел. Да, это не по RFC и не суперсекьюрно (если трафик слушать будут и анализировать), но для компании из 10-20 человек это не важно. Важна доступнусть с любого места: в случае моего велосипеда ниже не нужно ничего пользователю настраивать - имя пользователя и пароль они сами знают, а адрес сервера и ссылку для открытия порта можно хоть продиктовать, хоть написать...любой RDP клиент подойдёт. Страданий нет - полчаса на сервере и 2 минуты на клиенте любого уровня отбитости.
Я делал велосипед чуть проще.. Поднял apache веб сервер с PHP на нестандартном 32888, запилил скрип аля "если get['abrvalg']==777 определяй ip клиента, добавляй в файл ips.txt и запускай скрипт powershell", а скрипт powershellа просто читал ips.txt и добавлял в нужное правило. Пользователь если не может достучаться до сервера просто проходит по ссылке http://123.456.78.9:32888/noconf.php?abrvalg=777 после чего сразу логинится. Из подводных камней - только настройка прав вебсервера.
Только тут товарищу майору :)
Да просто в исключения добавить нужные имена файлов/сигнатуры и всё..
Спасибо! После прикрытия WG и OVPN очень полезная статья :)
/бубнит Лучше бы нормальные bitrix модули для СБП и интернет-эквайринга своего же сделали...
Закапывал, и не один, но ровно тогда, когда бюджет соответствовал. О чём, собственно я вам и пишу... Использовать корпоративную инфраструктуру для обеспечения безопасности в маленькой компании не получится - это реальность.
Да, а от прилетевшего трафика по попытке перебора паролей сертификаты не спасают и как итог в вашей схеме - тормоза в сессиях у удалёнщиков либо вовсе отказ в обслуживании. В вашу связку нужно одно звено минимум добавить, которое будет "отсекать плохих", если уж корпоративно так всё. Сертификаты вы тоже попробуйте настроить в односерверной конфигурации - то ещё развлечение. Велосипеды могут сколько угодно быть странными и небезопасными, но они работают и на них ездят иначе они были бы не востребованы.
Потенциально и у терминального сервера может быть зиродэй дыра. Даже с халёными сертификатами. Ботнетов, которые ковыряют апач на нестандартном порту пока не видел. Да и дописать в скрипт защиту от трёх 404 за 10 минут - не проблема.
Мне искренне жаль, что вы стали жертвой маркетологов. Распишете, пожалуста, на пальцах чем подход "Подключиться с сретификатом под Win11" особо "безопасней и лучше" варианта, описанного мной ниже (открытие порта через веб и подключение с самоподписанным сертификатом)?
Ссылку открыть через браузер перед RDP - очень сложно? 5 неверных попыток и до свидания - куда до свидания? На уровне фаервола вы забанить сможете только через самописные костыли. При работе ботнета подбор производится с сотен ip и в большинстве случаев быстрее происходит замедление аутентификации лигитимных подключений или таймауты AD, в случае разгильдяйства откровенного могут и пароль подобрать. То, что у вас ни один из серверов - ошибка выжившего, не более.
Запилите, пожалуйста, пруфлинки.. а то очень сказочно
Вы рассматриваете какой то корпоратив корпоративный, где ноуты, как горячие пирожки выдают настроенные с блэкджэком и куртизанками. В реальности есть куча ситуаций, когда люди используют личные устройства (домашний ноут с WinXP живым на борту, макбук на который свежий RDP клиент просто не встаёт), а им работать надо. Удаленно подключиться, сделать бухгалтерские документы и 100500 ещё других дел. Да, это не по RFC и не суперсекьюрно (если трафик слушать будут и анализировать), но для компании из 10-20 человек это не важно. Важна доступнусть с любого места: в случае моего велосипеда ниже не нужно ничего пользователю настраивать - имя пользователя и пароль они сами знают, а адрес сервера и ссылку для открытия порта можно хоть продиктовать, хоть написать...любой RDP клиент подойдёт. Страданий нет - полчаса на сервере и 2 минуты на клиенте любого уровня отбитости.
Боже, да вам надо дать ноутбук с линуксом и понаблюдать как вы будете настраивать из коробки.
Я делал велосипед чуть проще.. Поднял apache веб сервер с PHP на нестандартном 32888, запилил скрип аля "если get['abrvalg']==777 определяй ip клиента, добавляй в файл ips.txt и запускай скрипт powershell", а скрипт powershellа просто читал ips.txt и добавлял в нужное правило. Пользователь если не может достучаться до сервера просто проходит по ссылке http://123.456.78.9:32888/noconf.php?abrvalg=777 после чего сразу логинится. Из подводных камней - только настройка прав вебсервера.
Есть большой минус у "обычных сертификатов" - уровень пользователей должен быть соответсвующим.
Это Midjourney так видит :)
Fish live in water and do not have hair. But if fish had wool, then fleas would be found in it
Прочитал: Актуальней брать ипотеку на новое правительство..
Даже согласился в душе.
А где взять карту, которую скушает Google Play?
А оплачивать то как?)
Простите, но как у вас ZeroTier с импортозамещением связано?