Назад | Перейти на главную страницу

Большое количество неудачных попыток входа в систему по RDP

Я видел, как этот же вопрос обсуждался для серверов в стиле unix, например, здесь Это нормально - получать сотни попыток взлома в день?

Но я хотел бы знать, есть ли аналогичная рекомендация для серверов на базе Windows. На моем сервере есть RDP, открытый для сети, и временами я получал столько запросов на вход в систему, что на самом деле машина вызывала DOS. Я изменил номер своего порта, и это помогло какое-то время, но теперь я вижу, что они снова используют «новый» порт. Я также вижу, что эти попытки входа в систему исходят из многих исходных IP-адресов, поэтому они распространяются.

Есть ли служба или приложение, которое может видеть все неудачные попытки входа в систему и временно блокировать IP-адреса? Нравится fail2ban для победы?

Я действительно рекомендую вам отказаться от прямого RDP из Интернета, если это возможно. Если нет, убедитесь, что вы исправили Уязвимость удаленного кода RDP обнаружил недавно. Код эксплойта теперь является частью metasploit, а также доступно в дикой природе.

Смена порта не очень помогает, потому что такие инструменты, как nmap, могут легко его найти. Вы можете изменить порт, но не можете изменить отпечаток пальца.

Эван Андерсон создал инструмент под названием ts_block для блокировки терминальных служб / запросов RDP. Это обсуждается здесь, Как остановить атаки методом перебора на Терминальный сервер (Win2008R2)?

Сам инструмент доступен здесь https://github.com/EvanAnderson/ts_block

У вас есть несколько вариантов.

  1. Смягчить точку атаки - Реализовать что-то вроде TS шлюз который будет направлять весь ваш трафик RDP на стандартный порт SSL 443. Это позволит вам закрыть порт 3389 от внешнего мира, уменьшив (если не исключив) ваши попытки грубой силы. Тем не менее, клиент Mac RDP пока не совместим со шлюзом TS, поэтому, если у вас есть подключенные Mac, вам может не повезти.
  2. Реализовать политику блокировки учетной записи - Разрешите 5 неправильных попыток входа в систему перед блокировкой учетной записи. Большинство попыток грубой силы происходят с конкретными именами (как я уверен, вы можете сказать), поэтому они прекратят попытки, если их учетная запись будет заблокирована. Иногда вы видите бота, который пробует несколько имен, но большинство из них пробует только конкретное имя (например, владелец, root, test, besadmin и т. Д.)
  3. Вы можете реализовать VPN - Подобная предпосылка для шлюза TS, VPN поместит ваших пользователей внутрь брандмауэра, снова позволяя закрыть порт 3389. Предостережение заключается в том, что большинство системных администраторов не хотят, чтобы неизвестные компьютеры подключались к их VPN, поэтому я бы реализовал это только в том случае, если подключаемые компьютеры находятся под вашим контролем.

Существуют сторонние инструменты, которые помогут вам блокировать попытки перебора, однако, как видите, это можно сделать и без них. Еще до того, как у нас был установлен шлюз TS, реализация политики блокировки резко снизила трафик, который мы видели на порте 3389.

может ты можешь попробовать http://rdpguard.com/

Это сервер 2008 года? Вы можете включить NLA (аутентификацию на уровне сети), которая помогает, поскольку сеанс не устанавливается, пока учетные данные не авторизованы.