Защита от сетевых атак на внешнем IP
 

Доброго дня, прошу совета по безопасности сервера от угроз из вне. Имеем серврер 2016, крутится sql 1c, поднял на нем FTP, включил rdp для сотрудников, переназначил порты на роутере. Посмотрел в журнале безопасности, каждые 2-3 сек ломятся на сервер и брутфорсят. Хотелось бы обезопасить сервер. Нужен совет как лучше всего сделать ограничения. Использовать аппаратный программный комплекс межсетевого экрана (какой производитель), либо программный? И в целом можно ли как то граничить по мак адресам сетевых карт подключения к серверу.

Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему).

Если я запущу впн, то будет ли смысл внешнего IP от провайдера? есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно?

pay666, я бы еще включил ограничение попыток подбора пароля (например, так). Разумеется, стандартные учётки переименовать ("администратора", как минимум) и порт RDP на сервере изменить на какой-нибудь левый, например, 40093.

А куда он по Вашему должен деться?

Почитайте что такое уровень сети L2 и L3 и будут у Вас меньше откровенно глупых вопросов.

Методом сканирования портов эта "хитрость" проживём около минуты...

не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно.

И вот зачем это если есть VPN и уже на уровне VPN вся задача и решается!

Можно и на палке проехать пол мира, но это не удобно, больно, долго и муторно... :tomato2:

pay666, поставь на входе микротик и разрисуй все свои желания правилами: хочешь - собирай в мешок спаммеров на автомате, хочешь - по страновым диапазонам ограничь, хочешь - по разрешенным адресам only разреши, хочешь... да что хочешь - то и делай)

ЗЫ: и со всем этим VPN тоже никто не отменял... причем на этот же микротик)

Anton04, ShaddyR, сдаётся мне, если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал ;)
Кстати, про VPN - в таком случае сеть будет легко доступна с подключаемого компа, и закрытием одного порта на фаерволе уже не отделаешься (зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности)

ну, согласись - скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов.
>
теперь знает. Для того и спрашивал, полагаю)

Цитата:

Цитата ShaddyR скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов. »

ох, я бы так не сказал.... был прецедент (бух заходил со своего домашнего компа через ВПН, а на компе у него, как оказалось позже, уже пару лет резвились то ли китайцы, то ли корейцы). Так что у меня для рядовых юзеров только RDP с ограничениями, для себя же VPN, хоть с телефона.
Кстати, вместо цисок и микротиков можно использовать pfsense/opnsense на дешевом железе, если проблема с бюджетом или настройками проприетарного софта. Считай, бесплатно, да и функционала выше крыши (блокировка регионов, диапазонов адресов, белые списки, и прочее);)