У нас есть клиент, который настаивает на том, чтобы 6-7 локальных компьютеров были открыты для подключения к Интернету для RDP. Порты прослушивания RDP на каждом ПК были изменены по умолчанию. Эти порты перенаправляются в их Sonicwall TZ200 FW. Я собираюсь реализовать одну или обе эти меры безопасности: требовать vpn и разрешать RDP-соединения только с адресов локальной сети и / или создавать пользователей в Sonicwall и требовать, чтобы пользователи RDP аутентифицировались в SW перед установкой сеанса RDP. Но мой вопрос по-прежнему уместен: можно ли определить порты прослушивания путем сканирования портов по брандмауэру и общедоступному IP-адресу, и если да, то как лучше всего предотвратить?
Короткий ответ. да
Более длинный ответ. Службы с портами, открытыми для Интернета, могут быть обнаружены независимо от того, какой порт они прослушивают. RDP не исключение. Сканирование портов довольно распространено.
Поддерживаемая конфигурация в вашей ситуации заключается в лицензировании и использовании RDP шлюз служба. У вас есть одна точка входа, которая прослушивает 443 и зашифрована с помощью TLS, который затем действует как туннель RDP, чтобы попасть во внутреннюю сеть, куда бы вы ни направлялись.
Это не просто открытая вещь для всех. Он имеет отдельный уровень аутентификации (через Active Directory), и вы можете получить довольно детальную модель безопасности. Например, группа A может подключиться только к группе компьютеров B и т. Д.
Многие среды предпочитают просто использовать VPN, потому что это «проще».
Чтобы ответить на ваш прямой вопрос: да, все прослушивающие порты и службы на них обычно можно обнаружить, запустив тривиальное сканирование портов. Вы не можете полностью остановить это, хотя у меня были некоторые успехи в замедлении / блокировании попыток сканирования портов с помощью psad, вероятно, это не поддерживается вашим брандмауэром и не является непобедимым.