Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2016/2019/2022 (http://forum.oszone.net/forumdisplay.php?f=119)
-   -   Защита от сетевых атак на внешнем IP (http://forum.oszone.net/showthread.php?t=354894)

pay666 04-02-2024 11:02 3023657

Защита от сетевых атак на внешнем IP
 
Вложений: 1
Доброго дня, прошу совета по безопасности сервера от угроз из вне. Имеем серврер 2016, крутится sql 1c, поднял на нем FTP, включил rdp для сотрудников, переназначил порты на роутере. Посмотрел в журнале безопасности, каждые 2-3 сек ломятся на сервер и брутфорсят. Хотелось бы обезопасить сервер. Нужен совет как лучше всего сделать ограничения. Использовать аппаратный программный комплекс межсетевого экрана (какой производитель), либо программный? И в целом можно ли как то граничить по мак адресам сетевых карт подключения к серверу.

Anton04 05-02-2024 17:27 3023733

Цитата:

Цитата pay666
Хотелось бы обезопасить сервер. »

Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему).

pay666 05-02-2024 20:33 3023744

Цитата:

Цитата Anton04
Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему). »

Если я запущу впн, то будет ли смысл внешнего IP от провайдера? есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно?

dmitryst 06-02-2024 10:22 3023760

pay666, я бы еще включил ограничение попыток подбора пароля (например, так). Разумеется, стандартные учётки переименовать ("администратора", как минимум) и порт RDP на сервере изменить на какой-нибудь левый, например, 40093.

Anton04 06-02-2024 12:52 3023762

Цитата:

Цитата pay666
Если я запущу впн, то будет ли смысл внешнего IP от провайдера? »

А куда он по Вашему должен деться?

Цитата:

Цитата pay666
есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно? »

Почитайте что такое уровень сети L2 и L3 и будут у Вас меньше откровенно глупых вопросов.

Цитата:

Цитата dmitryst
порт RDP на сервере изменить на какой-нибудь левый, например, 40093. »

Методом сканирования портов эта "хитрость" проживём около минуты...

dmitryst 06-02-2024 15:10 3023764

Цитата:

Цитата Anton04
Методом сканирования портов эта "хитрость" проживём около минуты... »

не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно.

Anton04 06-02-2024 17:26 3023776

Цитата:

Цитата dmitryst
не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно. »

И вот зачем это если есть VPN и уже на уровне VPN вся задача и решается!

Можно и на палке проехать пол мира, но это не удобно, больно, долго и муторно... :tomato2:

ShaddyR 07-02-2024 00:15 3023802

pay666, поставь на входе микротик и разрисуй все свои желания правилами: хочешь - собирай в мешок спаммеров на автомате, хочешь - по страновым диапазонам ограничь, хочешь - по разрешенным адресам only разреши, хочешь... да что хочешь - то и делай)

ЗЫ: и со всем этим VPN тоже никто не отменял... причем на этот же микротик)

dmitryst 07-02-2024 11:05 3023814

Anton04, ShaddyR, сдаётся мне, если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал ;)
Кстати, про VPN - в таком случае сеть будет легко доступна с подключаемого компа, и закрытием одного порта на фаерволе уже не отделаешься (зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности)

ShaddyR 07-02-2024 18:03 3023830

Цитата:

Цитата dmitryst
зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности) »

ну, согласись - скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов.
>
Цитата:

Цитата dmitryst
если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал »

теперь знает. Для того и спрашивал, полагаю)

dmitryst 08-02-2024 09:15 3023843

Цитата:

Цитата ShaddyR
скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов. »

ох, я бы так не сказал.... был прецедент (бух заходил со своего домашнего компа через ВПН, а на компе у него, как оказалось позже, уже пару лет резвились то ли китайцы, то ли корейцы). Так что у меня для рядовых юзеров только RDP с ограничениями, для себя же VPN, хоть с телефона.

Кстати, вместо цисок и микротиков можно использовать pfsense/opnsense на дешевом железе, если проблема с бюджетом или настройками проприетарного софта. Считай, бесплатно, да и функционала выше крыши (блокировка регионов, диапазонов адресов, белые списки, и прочее);)


Время: 05:51.

Время: 05:51.
© OSzone.net 2001-