Защищаем RDP Windows Server без VPN

[neptunas]

В плане защиты красиво выглядит Port knocking — позволяет не светить сканнерам свои порты рдп, тем самым уменьшая «шум» и внимание.

А к блокировщику было бы интересно добавить пробивку по www.abuseipdb.com
IP из таких баз можно без попыток, по самой попытке коннекта вносить в черный список, пусть даже и пару сек паузы появится при коннекте.

[tocha4]

Хорошая альтернатива IPBan
github.com/digitalruby/ipban

Аналог fail2ban для Linux

[paxlo]

RDPGuard как аналог IDDS

[VFedorV]

да, но этот софт платный… а функционал практически такой же

[paxlo]

Да, но в вашей статье также описывается коммерческий Duo Authentication. Наверное полезнее дать обзор всех вариантов, а пользователь уже выберет нужный сам хоть платный, хоть бесплатный.

[VFedorV]

тут согласен. только тот же Duo хотя бы позволяет в режиме ограниченного функционала поработать (10 пользователей FREE)

[VFedorV]

PS писал от лица компании ProCloud — у которой пока еще нет корп. блога на Хабре, поэтому в 3-м лице :)

[TimsTims]

Как компаниям бесплатно писать на Хабре — писать их не от лица компании?)

[VFedorV]

ну вряд ли это будет эффективно ;)
корыстных целей не преследовал — честно :)

[gedd]

RDP Defender — бесплатно и сердито

[VFedorV]

альтернатива — это всегда хорошо! спасибо

[mrzar]

Прочел. Почему-то вспомнился мультфильм, где персонаж напился воды, его прострелили, или что-то подобное, и из него потекла струйка воды. Он дырку пальцем заткнул, а струйка воды из другого места потекла и так далее :)

[dr_duke]

Надо как минимум rdp gateway воткнуть. Обеспечивает единую точку входа и наблюдения. Ну и монитор логов прикрутить. Дуо -очень хорошо и быстро, но платно, очень рекомендую. Если нет домена или возможности развернуть гейтвей — можно в качестве балансера хапрокси юзать и использовать линуксовые средства для защиты.

[Adjuster2004]

С учётом того, что у MS украли исходники и первая весточка — это ProxyLogon в Exchange, надеяться на защищённость RDP плохая идея.

Лучше это все обернуть в VPN.

[VFedorV]

ProxyLogon это вообще epic fail :( но да — я с этого и начал, что VPN(тоже с 2FA) лучше всего
Может в следующей статье расскажу про свои любимые — SoftEher VPN & Cisco AnyConnect — как с тем же Duo интегрировать к примеру…

[DonRydell]

Как альтернатива Duo это Protectimus
Мы в компании использует данное решение, только на платной основе, если объем пользователей больше 10, то получается дешевле.
Если не ошибаюсь у них так же free до 10 пользователей.
Что понравилось, это то, что есть русский суппорт и ребята полностью помогают на всех этапах тестирования )
На всякий оставлю ссылку https://www.protectimus.com/winlogon/ru/index.php

[VFedorV]

спасибо, надо будет изучить

[9zumat9]

а почему именно Protectimus? (или Duo) есть большое количество аналогичный решений. чем то Protectimus выше среднего?

[DonRydell]

Protectimus выбрали, в основном потому что есть возможность установить их платформу на собственные серверы. У DUO, например, такой опции нет, все только через облако. Также для нас важно было, что ребята общаются на русском, отвечают быстро, сразу подключились и помогли все настроить.

[9zumat9]

спасибо за ответ. как я понимаю это — www.youtube.com/watch?v=ppepCppAG6k
видео установки платформы? разумеется это важно, что бы не зависеть от внешнего сервера (а что если он «лежит», как войти в систему ?)
а что по самому компоненту, как он субъективно работает? есть какие то претензии по фунционалу, виду и тп или всё ок? я смотрю в последнее время «модно» passwordless решения (трудно сказать true они или fake — не нашёл в открытом доступе для теста). например решения от www.hypr.com или truu.ai

[DonRydell]

Если сервер лежит — у них есть одноразовый бекап код для офлайн доступа. Когда его используешь — система дает новый. Ну и в принципе, оно кластеризируется.

Компонент заменяет стандартный виндовый логон и добавляет второй фактор. По идее, конечная точка (логон) общается с платформой для проверки второго фактора по SSL, а первый фактор проверяет локально. Работает отлично, нет претензий, и ставится легко. Есть фича генерации .msi для дистрибуции через GPO.

[9zumat9]

если фунционал устраивает, то ок. в чём наверно protectimus лучше всех остальный — в «легковесности». всего 235кб примерно занимает инсталятор (и ничего дополнительно не скачивается — в нём уже всё). врядли хоть у кого то ещё есть меньше по размеру. быстро запускается, работает. лекго удаляется из системы. не тормозит, если сеть не томозит

[mkvmaks]

Cyberarms Intrusion Detection and Defense Software (IDDS) — лично пользовался, ух… сколько IP было забанено. Вот интересно как такой софт пишут ??