Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2016 - Защита от сетевых атак на внешнем IP

Ответить
Настройки темы
2016 - Защита от сетевых атак на внешнем IP

Старожил


Сообщения: 204
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


Изображения
Тип файла: jpg Сохраненное изображение 2024-2-4_12-52-37.65.jpg
(280.5 Kb, 8 просмотров)
Доброго дня, прошу совета по безопасности сервера от угроз из вне. Имеем серврер 2016, крутится sql 1c, поднял на нем FTP, включил rdp для сотрудников, переназначил порты на роутере. Посмотрел в журнале безопасности, каждые 2-3 сек ломятся на сервер и брутфорсят. Хотелось бы обезопасить сервер. Нужен совет как лучше всего сделать ограничения. Использовать аппаратный программный комплекс межсетевого экрана (какой производитель), либо программный? И в целом можно ли как то граничить по мак адресам сетевых карт подключения к серверу.

Отправлено: 11:02, 04-02-2024

 

Аватара для Anton04

Ветеран


Сообщения: 2115
Благодарности: 399

Профиль | Отправить PM | Цитировать


Цитата pay666:
Хотелось бы обезопасить сервер. »
Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему).

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 17:27, 05-02-2024 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 204
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


Цитата Anton04:
Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему). »
Если я запущу впн, то будет ли смысл внешнего IP от провайдера? есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно?

Отправлено: 20:33, 05-02-2024 | #3


Аватара для dmitryst

Ветеран


Сообщения: 7207
Благодарности: 897

Профиль | Отправить PM | Цитировать


pay666, я бы еще включил ограничение попыток подбора пароля (например, так). Разумеется, стандартные учётки переименовать ("администратора", как минимум) и порт RDP на сервере изменить на какой-нибудь левый, например, 40093.

-------
Осваиваю FreeBSD


Отправлено: 10:22, 06-02-2024 | #4


Аватара для Anton04

Ветеран


Сообщения: 2115
Благодарности: 399

Профиль | Отправить PM | Цитировать


Цитата pay666:
Если я запущу впн, то будет ли смысл внешнего IP от провайдера? »
А куда он по Вашему должен деться?

Цитата pay666:
есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно? »
Почитайте что такое уровень сети L2 и L3 и будут у Вас меньше откровенно глупых вопросов.

Цитата dmitryst:
порт RDP на сервере изменить на какой-нибудь левый, например, 40093. »
Методом сканирования портов эта "хитрость" проживём около минуты...

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 12:52, 06-02-2024 | #5


Аватара для dmitryst

Ветеран


Сообщения: 7207
Благодарности: 897

Профиль | Отправить PM | Цитировать


Цитата Anton04:
Методом сканирования портов эта "хитрость" проживём около минуты... »
не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно.

-------
Осваиваю FreeBSD


Отправлено: 15:10, 06-02-2024 | #6


Аватара для Anton04

Ветеран


Сообщения: 2115
Благодарности: 399

Профиль | Отправить PM | Цитировать


Цитата dmitryst:
не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно. »
И вот зачем это если есть VPN и уже на уровне VPN вся задача и решается!

Можно и на палке проехать пол мира, но это не удобно, больно, долго и муторно...

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 17:26, 06-02-2024 | #7


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24682
Благодарности: 4526

Профиль | Сайт | Отправить PM | Цитировать


pay666, поставь на входе микротик и разрисуй все свои желания правилами: хочешь - собирай в мешок спаммеров на автомате, хочешь - по страновым диапазонам ограничь, хочешь - по разрешенным адресам only разреши, хочешь... да что хочешь - то и делай)

ЗЫ: и со всем этим VPN тоже никто не отменял... причем на этот же микротик)

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Новая метла и инвентаризация)

Это сообщение посчитали полезным следующие участники:

Отправлено: 00:15, 07-02-2024 | #8


Аватара для dmitryst

Ветеран


Сообщения: 7207
Благодарности: 897

Профиль | Отправить PM | Цитировать


Anton04, ShaddyR, сдаётся мне, если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал
Кстати, про VPN - в таком случае сеть будет легко доступна с подключаемого компа, и закрытием одного порта на фаерволе уже не отделаешься (зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности)

-------
Осваиваю FreeBSD


Отправлено: 11:05, 07-02-2024 | #9


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24682
Благодарности: 4526

Профиль | Сайт | Отправить PM | Цитировать


Цитата dmitryst:
зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности) »
ну, согласись - скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов.
>
Цитата dmitryst:
если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал »
теперь знает. Для того и спрашивал, полагаю)

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Новая метла и инвентаризация)


Отправлено: 18:03, 07-02-2024 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2016 - Защита от сетевых атак на внешнем IP

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Debian/Ubuntu - Сервер на Debian (защита от DDOS и других атак) admirativ Общий по Linux 4 24-01-2014 23:17
Info - Защита от хакерских атак на почту и их пути предотвращения Farrukhjon Защита компьютерных систем 18 22-11-2011 19:18
Доступ - Нужна защита файлов на внешнем hdd от копирования с разрешением на чтение tetushkin Microsoft Windows 2000/XP 1 13-10-2011 18:36




 
Переход