Zabezpieczenie połączeń RDP


(dr.boczek) #1

Mam niewielkie doświadczenie z Serwerami Windows a jeszcze mniejsze z RDP i zastanawiam się w jaki sposób mogę zabezpieczyć protokół RDP. Przeczytałem sporo stron, instalowałem certyfikaty ale wszystko to jakieś takie… W linuxach wszystko było proste, wygenerowałem klucze i nikt bez nich się nie podłączył do SSH a tutaj nie do końca rozumiem. Dowiedziałem się, że dobrze jest mieć zainstalowane certyfikaty i włączone NLA, jakieś certyfikaty prywatne generowałem ale to nie działa tak jak oczekuję. Zależy mi na tym żeby do sesji RDP nie mogli się podłączać użytkownicy bez certyfikatu/klucza - jest to możliwe w Windows Server 2016?

Oczywiście mam działający VPN, z którego mogę korzystać ale mimo wszystko chciałbym ogarnąć czy jest możliwe wyrzucenie na zewnątrz zmienionego portu do RDP bez większego ryzyka.


(roobal) #2

Jeśli chodzi o certyfikaty do RDP, też nie mam żadnego doświadczenia. Jednak zmiana samego portu nic nie da.

https://niebezpiecznik.pl/post/ostrzezenie-przed-wzmozonymi-atakami-przez-rdp-na-polskie-firmy/

Jeśli RDP musi być wystawiony na Świat, ogranicz też dostęp do wybranych IP.


(dr.boczek) #3

Czytałem o tym RDP niedawno dlatego pytam o te certyfikaty. Mało tego, zadzwoniłem na infolinie wsparcia Microsoft gdzie koczowałem ponad godzinę po to by dowiedzieć sie za mam sobie poszukać informacji w internecie. Dobre mają wsparcie. Znalazłem sporo informacji o win2008 a na temat 2016 znalazłem wzmiankę o tym ze funkcjonalność która mnie interesuje zawiera błędy i trzeba sobie cos tam w pałerszelu powpisywać. Szkoda ze nie można tym razem skorzystać z linuxa.


(crono2552) #4

Witam pilnie potrzebuję pomocy w zabezpieczeniu RDP, korzystam z windows server 2012r2 i rdp jest wypuszczony na zewnątrz od jakiegoś czasu rozważałem VPN jednak nie znalazłem instrukcji jak to ogarnąć krok po kroku a od wczoraj rejestruje próby wbicia się przez rdp do serwera. Proszę o pomoc w zabezpieczeniu serwera.

PILNE!


(dr.boczek) #5

konkretnie powiedz jak masz to zrobione. Jakiś router jest przed serwerem? Z ilu miejsc się łączysz? czy klienci łączą się z laptopów czy mają może stałe IP? Zabezpieczyć RDP można na wiele sposobów.


(crono2552) #6

Tak jest standardowy router TP-LINKa przekierowany port 3389 na inny (jednak nie łudziłem się że to w czymś pomoże) do serwera łączy się aktualnie ok. 15 użytkowników każdy praktycznie z losowego IP (jednak wszyscy z PL). Aktualnie wrzuciłem RDP Monitor i widzę że podjęte próby połączenia są nawiązywane praktycznie z całego świata :slight_smile: tylko dzisiaj miałem już 30 prób połączenia, na szczęście zakupiłem wczoraj RDP Guard ustawiłem że po jednej nieudanej próbie zalogowania ma banować IP. Mimo wszystko żaden adres nie został jeszcze zbanowany wydaje mi się że połączenia są dokonywane tylko w celach skaningu mimo wszystko muszę podjąć jakieś rozsądne działania. Na tą chwilę czuję się dość bezpiecznie bo konta Administratora jest wyłączone, konta 2 adminów mają trudne nazwy i skomplikowane hasła, konta użytkowników są nazwane w sposób nie standardowy i ograniczone do minimum w zasadach grup (wszystkie konta pracują w domenie) - użytkownicy mogą korzystać praktycznie z jednej aplikacji (nic więcej nie uruchomią) + drukowanie na swoich sesjach. Rozważam VPN jednak wczorajsze próby nie powiodły się gdyż nie mogłem nawiązać połączenia na L2TP (na PPTP połączyłem się - jednak jest to protokół mało bezpieczny).

Czekam na proste i sprawne propozycje - Sprawa jest poważna, już dziś zaszyfrowałem wszystkie dane.


(roobal) #7

W takiej sytuacji proponuję wymienić tego TP Linka na router od Mikrotika. Do VPN to minimum RB z serii 3011 (sprzęt udzwignie kilka sesji VPN i poziom licencji daje Ci nielimitowana liczbę kont).

Wymianę routera zalecam głównie z tego powodu, że posiada zaawansowany firewall oraz jest koncetratirem VPN. Koszt takiego RB jest niewielki, a przynajmniej śpisz spokojnie.


(crono2552) #8

podasz jakiś konkretny model?

dodatkowo potrzebuję jakieś rozwiązanie na tą chwilę tymczasowe, gdyż na mikrotiku nic nie robiłem więc zanim go ogarnę muszę go z testować.


(roobal) #9

Jeśli chcesz potestować, pobierz sobie ze strony Mikrotika obraz maszyny wirtualnej (obraz do rozwiązań cloud - chr - cloud hosted router) lub obraz iso dla x86 (ten jest jednak ograniczony czasowo).

Jeśli masz szafę rack, to szukaj rack mount (RM w nazwie modelu). Seria 3011 posiada 10 portów 10 GbE, CPU spokojnie obsłuży kilka sesji VPN. Mocniejsze są już CCR, ale taki raczej nie będzie Ci potrzebny.


(crono2552) #10

Ok przetestuje, mimo wszystko proszę o porady co mogę zrobić na tą chwilę posiadając taką konfigurację jaką opisałem.


(dr.boczek) #11

@roobal ci w zasadzie odpowiedział już. Router tp-link to nie jest dobry pomysł. Router z dobrym firewallem sporo zmienia bo ja np korzystam z produktów Ubiquiti i na starcie masz możliwość takiej konfiguracji firewalla żeby wpuszczał ruch tylko z określonych podsieci - dzięki temu możesz np odrzucać połączenia spoza Polski. Możesz też na takim routerze skonfigurować sobie odpowiedni dla siebie VPN - możesz oczywiście też sporo zrobić na samym serwerze windowsowym ale to tak jakbyś podczas pożaru schował się w wannie z wodą - cały nie spłoniesz ale cała reszta pójdzie z dymem.

Jeśli chodzi o sam RDP to możesz np skonfigurować “bramę usług pulpitu zdalnego” - to jest konkretne zabezpieczenie ponieważ nie łączysz się wtedy na porcie 3389 tylko na szyfrowanym porcie 443 a połączenie zabezpieczone jest certyfikatem. To dość mocno podnosi bezpieczeństwo RDP.

Zmieniając router na porządny naprawdę sporo zyskujesz i ja bym od tego zaczął.


(crono2552) #12

Rozumiem, czyli zmiana routera, tutaj akurat jeżeli chodzi firewall to może być delikatny problem z tym że użytkownicy wewnątrz sieci nie korzystający z serwera używają poczty przeglądają internet i wykonują jakieś tam standardowe czynności (wiem, wszystko da się ustawić :).

Wracając do ustawienia bramy usług pulpitu zdalnego - raczej nie mogę go uruchomić na tym samym serwerze ? (ten o którym mówię służy do AD i pracy na sesjach zdalnych).


(dr.boczek) #13

Chyba masz niewielka wiedzę o konfiguracji routerów, co?


(crono2552) #14

tak precyzyjniej to
mam niewielką wiedzę o konfiguracji zaawansowanych routerów albo zaawansowanych funkcji.

a czy z Ubiquiti możesz coś polecić ?


(roobal) #15

Osobiście nie polecam routerów od Ubi, szczególnie dla osób niezaawansowanych. Ktoś kto projektował interfejs tych routerów, miał chyba problemy psychiczne. O bieda switchach już nie wspomnę. Ubi za to robi świetne punkty sieci bezprzewodowej.


(crono2552) #16

A co myślicie o wykorzystaniu systemu pfSense?


(dr.boczek) #17

Oczywiście ze mogę polecić tylko po co? Poradzisz sobie z konfiguracją czy będziesz wypytywał na forum będąc dalej uzależnionym od tego co inni powiedzą? Poszukaj takiego routera którego będziesz potrafił skonfigurować albo takiej firmy, która się tym zajmie i poleci Ci swój ulubiony router. @roobal ma rację, interfejs EdgeRouterów jest śliczny ale niepraktyczny i większość rzeczy trzeba z konsoli ręcznie konfigurować - jak w każdym innym normalnym routerze.

Jeśli masz zacięcie i chcesz się nauczyć obsługi to możesz sobie kupić najtańszy ER-X do zabawy i nauki (i tak będzie on lepszy od każdego TP-Linka). Jeśli chcesz się uczyć od podstaw to możesz startować w Cisco albo wspomniany Mikrotik, też są tanie i wydajne.


(crono2552) #18

może zamiast nadal szukać to ty lub roobal chciałby pomóc w konfiguracji (w razie czego odezwijcie się na priv), na tą chwilę zainstaluję sobie tego pfsensa na maszynie wirtualnej i się pobawię.


(crono2552) #19

ktoś z was by jeszcze odpowiedział na to pytanie ?


(bachus) #20

Co byś jeszcze chciał wiedzieć? Nie zadajesz konkretnych pytań.