Tentativi RDP dagli IP sconosciuti, come proteggere?

10

Utilizzo Windows Server2008 R2 e visualizzo il seguente errore più volte con vari IP nel registro eventi:

The Terminal Server security layer detected an error in the protocol stream and has disconnected the client. Client IP xxx.xxx.xxx.xxx

Ho controllato gli IP e sicuramente non provengono da nessuno della mia squadra o da chiunque debba avere accesso. Uno degli IP era addirittura nella lista nera.

Suppongo che qualcuno stia tentando di accedere al mio server tramite RDP.

Normalmente configurerei il firewall in modo che accetti solo RDP dagli indirizzi IP "consentiti". Tuttavia, il problema che ho di fronte è che non ho un IP statico con il mio ISP, e cambia di volta in volta.

C'è qualche modo / soluzione raccomandata per affrontare questo problema considerando che non ho un IP statico a casa?

    
posta AlexVPerl 20.07.2016 - 00:02
fonte

6 risposte

10

Sicurezza non esattamente provata, ma Port Knocking ti consente di aprire porte chiuse inviando un set speciale di pacchetti prima al server.

Potresti anche affittare un server economico con un indirizzo IP dedicato e configurare una VPN, quindi impostare esplicitamente il firewall per consentire solo le connessioni dall'IP VPN.

    
risposta data 20.07.2016 - 01:24
fonte
8

La maggior parte degli attacchi RDP sono indirizzati alla porta standard 3389. La modifica di tale porta su qualsiasi porta non standard come 8123 renderà il servizio desktop remoto in ascolto.

How-to-change-the -listening-port-per-Remote-Desktop

Una volta modificato, sarà necessario specificare il numero di porta durante l'avvio della connessione desktop remoto. per esempio. IPaddress: 8123

    
risposta data 20.07.2016 - 00:29
fonte
5

Potresti voler controllare RDPGuard (essenzialmente fail2ban per rdp) e ovviamente fare del tuo meglio per applicare una buona politica sulla password.

    
risposta data 20.07.2016 - 00:06
fonte
5

Mi rendo conto che questa domanda è già stata contrassegnata come risposta, ma Microsoft ha un servizio incluso in Server 2008 R2 chiamato Microsoft TS (o RDP) Gateway

Ciò che ti permette di mettere un altro server (il gateway di Servizi Terminal) davanti al tuo vero terminal server che ascolta su TCP 443 anziché su 3389. Oltre a nascondere l'esistenza del tuo terminal server, il server gateway di TS aggiunge un altro livello di autenticazione in quanto gli utenti possono disporre sia delle credenziali TS Gateway sia delle credenziali di dominio.

    
risposta data 20.07.2016 - 03:26
fonte
1

Probabilmente dovresti prendere in considerazione l'utilizzo delle opzioni negli oggetti Criteri di gruppo per limitare l'RDP a un set specifico di IP noti e affidabili.

    
risposta data 20.07.2016 - 06:03
fonte
1

Ho scritto un servizio Windows alcuni anni fa che monitora il registro eventi per questo e il firewall blocca gli IP dopo un numero configurabile di tentativi falliti di autenticarsi su RDP. Dettagli, link per il download (incluso il codice sorgente) qui:

link

    
risposta data 20.07.2016 - 13:44
fonte

Leggi altre domande sui tag