Защита от сетевых атак на внешнем IP
Вложений: 1
Доброго дня, прошу совета по безопасности сервера от угроз из вне. Имеем серврер 2016, крутится sql 1c, поднял на нем FTP, включил rdp для сотрудников, переназначил порты на роутере. Посмотрел в журнале безопасности, каждые 2-3 сек ломятся на сервер и брутфорсят. Хотелось бы обезопасить сервер. Нужен совет как лучше всего сделать ограничения. Использовать аппаратный программный комплекс межсетевого экрана (какой производитель), либо программный? И в целом можно ли как то граничить по мак адресам сетевых карт подключения к серверу.
|
Цитата:
Цитата pay666
Хотелось бы обезопасить сервер. »
|
Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему).
|
Цитата:
Цитата Anton04
Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему). »
|
Если я запущу впн, то будет ли смысл внешнего IP от провайдера? есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно?
|
pay666, я бы еще включил ограничение попыток подбора пароля (например, так). Разумеется, стандартные учётки переименовать ("администратора", как минимум) и порт RDP на сервере изменить на какой-нибудь левый, например, 40093.
|
Цитата:
Цитата pay666
Если я запущу впн, то будет ли смысл внешнего IP от провайдера? »
|
А куда он по Вашему должен деться?
Цитата:
Цитата pay666
есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно? »
|
Почитайте что такое уровень сети L2 и L3 и будут у Вас меньше откровенно глупых вопросов.
Цитата:
Цитата dmitryst
порт RDP на сервере изменить на какой-нибудь левый, например, 40093. »
|
Методом сканирования портов эта "хитрость" проживём около минуты...
|
Цитата:
Цитата Anton04
Методом сканирования портов эта "хитрость" проживём около минуты... »
|
не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно.
|
Цитата:
Цитата dmitryst
не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно. »
|
И вот зачем это если есть VPN и уже на уровне VPN вся задача и решается!
Можно и на палке проехать пол мира, но это не удобно, больно, долго и муторно... :tomato2:
|
pay666, поставь на входе микротик и разрисуй все свои желания правилами: хочешь - собирай в мешок спаммеров на автомате, хочешь - по страновым диапазонам ограничь, хочешь - по разрешенным адресам only разреши, хочешь... да что хочешь - то и делай)
ЗЫ: и со всем этим VPN тоже никто не отменял... причем на этот же микротик)
|
Anton04, ShaddyR, сдаётся мне, если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал ;)
Кстати, про VPN - в таком случае сеть будет легко доступна с подключаемого компа, и закрытием одного порта на фаерволе уже не отделаешься (зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности)
|
Цитата:
Цитата dmitryst
зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности) »
|
ну, согласись - скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов.
>
Цитата:
Цитата dmitryst
если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал »
|
теперь знает. Для того и спрашивал, полагаю)
|
Цитата:
Цитата ShaddyR
скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов. »
|
ох, я бы так не сказал.... был прецедент (бух заходил со своего домашнего компа через ВПН, а на компе у него, как оказалось позже, уже пару лет резвились то ли китайцы, то ли корейцы). Так что у меня для рядовых юзеров только RDP с ограничениями, для себя же VPN, хоть с телефона.
Кстати, вместо цисок и микротиков можно использовать pfsense/opnsense на дешевом железе, если проблема с бюджетом или настройками проприетарного софта. Считай, бесплатно, да и функционала выше крыши (блокировка регионов, диапазонов адресов, белые списки, и прочее);)
|
Время: 05:51.
© OSzone.net 2001-