Se white list gli IP di cui ti fidi, questo implica ogni altro IP tranne quelli che sono bloccati. Ciò impedirà in modo efficace altri IP dagli attacchi DOS. L'assunto è ovviamente che la configurazione del firewall non è errata e / o il firewall stesso è considerato "sicuro" da qualsiasi standard ragionevole.
Quando uno strumento come RDP Defender entra per aggiungere valore, è quando non puoi conoscere gli IP specifici che dovrebbero usare il tuo servizio e quindi non puoi elencarli in bianco e / o non vuoi assumere quegli IP sono degni di fiducia
Defender di RDP, e strumenti come questo, ti permettono di aprire i tuoi servizi agli IP e poi cerca schemi di comportamento da quegli IP e blacklist basati su criteri di comportamento.
Vale la pena ricordare che, secondo il sito di RDP Defender, questo strumento funziona monitorando i tentativi di accesso falliti e quindi sfrutta Windows Firewall per inserire le regole in atto per bloccare il traffico da quegli IP. Questo è importante a cui pensare per diversi motivi:
1) Gli attacchi DOS / DDOS non necessariamente sfruttano i tentativi di accesso e quindi non verranno rilevati e sbloccati.
2) La difesa del blocco degli IP in cui viene generato traffico sospetto, di per sé, può essere utilizzata come metodo di attacco per DOS. Se un utente malintenzionato può incorporarsi in qualcosa che viene utilizzato da molte persone, quando l'attacco verrà lanciato, verrà generato da molti indirizzi IP. Se la tua difesa è quella di bloccare ciascuno di questi IP di origine, alcuni di questi IP potrebbero essere clienti validi del tuo servizio che vengono chiusi. Se la tua difesa è quella di bloccare intere sottoreti, questo avrà sicuramente il potenziale per bloccare molti IP che non cercano di fare del male. Infine, se l'attaccante contraffa l'indirizzo IP, può scegliere come target la chiusura degli IP come preferiscono.
Dichiarazione di non responsabilità - Non consiglio mai a qualcuno di mettere un server sull'Internet pubblica (specialmente Windows) senza l'esperienza di qualcuno che conosce tutte le complessità implicate. Il tuo caso migliore è un sistema molto rigido che è il più protetto possibile considerando la natura dei servizi che deve fornire a Internet pubblica, ma è ancora vulnerabile nei modi che tu conosci e la tua azienda ha valutato e deciso accettare i rischi. Il tuo scenario peggiore è pensare che il tuo server sia ben protetto e protetto, ma non lo è e lo trovi in un modo che costa enormi quantità di entrate perse, multe, responsabilità legali e / o impatto sulla reputazione. Inoltre, anche se la sicurezza è molto efficace al momento della distribuzione, non è atipico che la sicurezza svanisca col passare del tempo - quindi c'è un aspetto operativo in corso a cui pensare.
La mia risposta non è intesa a fare qualcosa di più che aiutarti a pensare a questo.