У меня есть публичный выделенный сервер, на который клиенты входят через RDP. Я использую rdpguard, чтобы блокировать попытки неудачного входа по RDP на моем сервере. Недавно я заблокировал его, чтобы разрешить только определенные IP-адреса через брандмауэр Windows.
Нужна ли мне такая программа, как rdpguard, для блокировки этих атак, или я могу удалить ее и освободить ресурсы, которые использует rdpguard? Сейчас это служит определенной цели или брандмауэр не позволяет им даже попытаться войти в систему?
У меня нет аппаратного брандмауэра, и я не могу получить его для своего сценария, поэтому, пожалуйста, избегайте этой темы.
Спасибо!
Брандмауэр Windows не обязательно «блокирует» вашу машину от атак грубой силы на TCP-порт 3389. Он просто фильтрует через список управления доступом тех, кому вы разрешаете использовать этот порт / службу. Существует множество способов атаковать службу RDP даже с помощью брандмауэра Windows. Если вы еще не используете SSL, я рекомендую вам сделать это, как описано в этом Howto от Technet.
Я бы оставил RDPGuard в вашей системе как "для бедняков" глубокоэшелонированная защита
Что ж, если вы запрещаете доступ ко всем, кроме IP вашего клиента, тогда все, что будет делать rdpguard, - это блокировать неудачные попытки входа в систему от вашего клиента.
Возможно, нет необходимости продолжать бегать, но, опять же, это не повредит.
Брандмауэр Windows действительно эффективно выполняет работу только до уровня 3, в то время как вы должны искать полностью до уровня 7, фильтрации уровня приложения. Technet заявляет Вот который:
За исключением некоторого трафика протокола передачи файлов (FTP), брандмауэр Windows не использует информацию уровня приложений для постоянной фильтрации трафика.
Хотя эта статья относится к Server 2003, то же самое относится и к 2008 году. Хотя я не использовал rdpgaurd, похоже, что он выполняет только мониторинг журналов, а не истинную проверку трафика.
Чтобы ответить на ваш вопрос: уровень безопасности должен быть пропорционален ценности данных, которые вы защищаете. Для внутреннего сервера защиты уровня 3 может быть достаточно, но для общедоступного сервера вы должны обеспечить максимальную безопасность, не мешая работе. Так что, на мой взгляд, да, если вы заботитесь о своих клиентах и своей репутации как поставщика услуг, вам необходимо защитить свои внешние системы. Более того, вы должны использовать что-то специально разработанное для такого сценария. Не зная своих рабочих параметров и поскольку вы заявили, что об оборудовании не может быть и речи, взгляните на линейку продуктов Microsoft Forefront. В противном случае у большинства основных поставщиков сетей / безопасности (McAfee, Cisco, F5, Checkpoint и т. Д.) Есть какое-то программное решение, зависящее от вашего бюджета.
Просто имейте в виду, что RDPGuard полагается исключительно на журнал событий Windows для блокировки входящих IP-адресов. Существуют различные способы обойти это, что означает, что приложение не получит IP-адрес злоумышленника и ничего не сделает с этим.
Было бы лучше, если бы вы изменили порт RDP по умолчанию (3389) на другой.