|
Информационные технологии
:: Администрирование
|
|
| ||
_Дайвер_ 06.10.16 - 15:42 | Использование Microsoft RDP, на сколько безопасно это дело? Предисловие: хочу на удаленном компьютере Windows 2008 настроить RDP для удаленного подключения, сам я не администратор, занимаюсь 1С по большей части(админские вопросы решаю по необходимости), всех азов не знаю, но человек который занимается администрированием говорит что ломают сервера через RDP, так ли это на самом деле? и лучше пользоваться программой типа TeamWiever, на которую нужна лицензия для пользования на серверных ОС. Есть ли какие опровержения , или советы по настройке RDP? про смену портов многие знают, но ведь это не предел? | ||
пипец 1 - 06.10.16 - 15:43 | порты прокинуть шлюз + впн | ||
пипец 2 - 06.10.16 - 15:45 | ну то что спрятаться за железку эт думаю понятно + многие ставят линух как транзит - но таки это за для админа
ЗЫ луччше воизбежание пригласить чела чтобы настроил разово и поддерживал по мере так сказать, или ломай коленки сам по форумам ЗЫЫ помню ису ставил и пробрасывал наружу - было весело по младости знаний ) | ||
shinobufag 3 - 06.10.16 - 15:48 | (0) Достаточно не открывать рдп во внешку и все будет хоккей. Закрыть за какой-нибудь джамп хост. | ||
_Дайвер_ 4 - 06.10.16 - 15:48 | (2) Если сделать как ты говорищь, прокинуть порты, настроить VPN и шлюз, насколько вероятность что взломают? | ||
oslokot 5 - 06.10.16 - 15:49 | (0) IP статический? тогда впн и смело юзать рдп
а так да, рдп ломают | ||
_Дайвер_ 6 - 06.10.16 - 15:49 | (3) Перенаправление портов поможет как нибудь? | ||
butterbean 7 - 06.10.16 - 15:51 | (4) 50% | ||
_Дайвер_ 8 - 06.10.16 - 15:51 | (5) С динамическим ip вообщем не стоит, правильно? | ||
oslokot 9 - 06.10.16 - 15:52 | (8) ну а как еще найти свой сервак в интернетах? разве что юзать сторонний динамический днс | ||
_Дайвер_ 10 - 06.10.16 - 15:53 | Сами какими средствами пользуетесь для удаленного администрирования? | ||
oslokot 11 - 06.10.16 - 15:55 | |||
shinobufag 12 - 06.10.16 - 15:58 | (6) По сути джамп хост это железка которая как раз и занимается маршрутизацией из одной сети в другую, только защищенная иптаблами и прочимпрочим. А вообще рдп так себе штука, с никсами намного удобнее по ссх. | ||
Скот 13 - 06.10.16 - 15:58 | (0)У меня несколько раз ломали RDP. Даже когда был сложный пароль. Есть программы для подбора. Короче лучше ставить VPN + RDP | ||
пипец 14 - 06.10.16 - 16:02 | (10) от брута только варианты менять соединение впна и пароли и прочее изменяемое с некоторым так сказать энтузиазмом раз в ...
ЗЫ смотря для чо тебе доступ в (0) нужен , у мну на серверной оси с открытым айпи без впн на мне - держался долго, около года , но меня прикрывал пров - поставил фильтры и разрыв связи с незнакомых ипов, но эт уже по договоренности и было давно и сервак знали мало народу чтобы целенапправленно его брутить - а так , нормально это всё ващет - железка + проброс , фильтр на железке + впн + фильтр на сервере | ||
Garykom 15 - 06.10.16 - 16:02 | голый RDP выставлять нельзя | ||
Garykom 16 - 06.10.16 - 16:03 | (15)+ минимально это дефолтный порт сменить и защита от брута | ||
Базис 17 - 06.10.16 - 16:24 | (15) То есть случайный пароль любой длины ломают за меньшее года время? | ||
kumena 18 - 06.10.16 - 16:25 | мне кажется проблемы с взломами часто надуманные.
дело было давно, кажется даже еще на ХП, у меня статистический IP. что-то проверял, отключил брендмауэр (кроме штатного ничего не было) и забыл на месяц. ничего не сломалось, как работало так работало пока не обнаружил сам. | ||
kumena 19 - 06.10.16 - 16:31 | +18 по защите, учетку Администратор сразу же переименовываю на своих компах, пароль стоял не длинный, все буквы. | ||
scanduta 20 - 06.10.16 - 16:34 | (0) У нас используется для надежности RDP+ VPN + Token | ||
Gary417 21 - 06.10.16 - 16:37 | (17) подбором ломать бесполезно, но есть вероятность что эксплойт подберут, учитывая гениальную политику многих админов "я отключил Winupdate, потомучто нафигненужно" | ||
APXi 22 - 06.10.16 - 16:37 | А как могут сломать RDP, если админ назван по другому и порт другой? С таким же успехом можно подобрать к VPN. | ||
Gary417 23 - 06.10.16 - 16:39 | |||
APXi 24 - 06.10.16 - 16:56 | (23) а чем это отличается от получения доступа к VPN? | ||
Йохохо 25 - 06.10.16 - 16:59 | если сменить порт и ограничить количество попыток входа, то это защита от взлома через рдп на 4 сигма. А если учесть, что контора ТС никому кроме узкого круга нафиг не нужна, то на 5 сигма
(23) ну просканируй диапазон ростелекома на нестандартные порты с определением службы | ||
Gary417 26 - 06.10.16 - 16:59 | (24) VPN можно по сертификатам сделать и вообще более гибко настраивать в плане протоколов шифрования, фареволлов и т.п.
И реализаций VPN туева хуча в отличии от RDP | ||
Gary417 27 - 06.10.16 - 17:00 | (25) все сидят в диапазоне ростелекома?
мне достаточно в логи своих vps-ов посмотреть что им на вход прёт из интернета чтобы оценить масштаб бедствия | ||
Gary417 28 - 06.10.16 - 17:01 | (25) <. А если учесть, что контора ТС никому кроме узкого круга нафиг не нужна,>
адреса сканируют ботсети, им пофиг что это за контора, они ищут дырки для расширения своей сети на уязвимых хостах | ||
Йохохо 29 - 06.10.16 - 17:05 | (28) что с портом? | ||
Йохохо 30 - 06.10.16 - 17:07 | (28) пробрось свои впсы в сетку корбины и смотри логи там) Рекламное место пустует | ||
Gary417 31 - 06.10.16 - 17:08 | (30) т.е. мне нужно перенести впсы к другому провайдеру и убедится что кругом рай на земле?
а ничё что корбина и ростелеком не всё на свете обслуживают? | ||
Йохохо 32 - 06.10.16 - 17:18 | (31) чисто ради аналогии. Ты поселил свои компы в борделе (на публичном хостинге) и удивляешься, что их проверяют. Провайдеров я приводил просто чтобы показать, что на объемах 0,0,0,0 смены порта достаточно для защиты от ботов | ||
Gary417 33 - 06.10.16 - 17:22 | (32) у меня есть клиенты у которых RDP торчит наружу на нестандартном порту, больше 5 лет так висели....последние полгода месяца в логи стали сыпаться попытки подключения...порт сменил интересно на сколько хватит
Вы недооцениваете мощность ботнетов | ||
Йохохо 34 - 06.10.16 - 17:25 | (33) чем подключались тоже надо смотреть, если рдп, то похвалить себя за мониторинг, если ссш, то тоже похвалить, но подешевле чего взять | ||
пипец 35 - 06.10.16 - 17:40 | (17) раз в месяц/два смена пароля (ниразу не простой) + настройки сервера на входе+ прикрывал пров немного + ессно админ не админ по имени и прочее | ||
kofeinik 36 - 06.10.16 - 20:11 | Голый rdp начиная с сервера 2008 и далее выставлять можно. "Ломаемость" rdp - миф, ноги которого растут с каких-то лохматых времен. | ||
NorthWind 37 - 06.10.16 - 21:22 | (4) Если VPN будет IPSec или SSL со стойким шифрованием и нормальной защитой (длинный сложный PSK или сертификаты), то вероятность очень низкая. Взлом такого шлюза будет крайне муторным делом, и сильно зависящим от наличия уязвимостей. | ||
zva 38 - 07.10.16 - 05:24 | (36) Полюбому MS из-за мифов в 2012 выпустил "критический" для всех поддерживаемых версий Microsoft Windows" патч:
https://technet.microsoft.com/library/security/ms12-020 а следом эксплойты появились... | ||
Турист 39 - 07.10.16 - 07:27 | (38) какие именно эксплойты? Ссылку на описание кинешь? | ||
mehfk 40 - 07.10.16 - 07:40 | |||
Турист 41 - 07.10.16 - 07:57 | (40) ну и где там про эксплойт который взламывает рдп? )) | ||
mehfk 42 - 07.10.16 - 08:08 | (41) 4. Не публикуйте алгоритмы взлома и ссылки на такие алгоритмы, а также всевозможные "патчи", "крэки", "эмуляторы", "серийные номера", "коды активации" и т.д.
http://www.forum.mista.ru/rules.php | ||
mehfk 43 - 07.10.16 - 08:08 | А вообще - если ты не можешь что-то найти, значит оно тебе не нужно. | ||
NorthWind 44 - 07.10.16 - 08:19 | (36) а в старых системах (Windows XP) есть возможность настроить RDP клиент с высокой степенью защиты? | ||
Турист 45 - 07.10.16 - 09:16 | (43) блаблабла, то то я смотрю до сих пор продаются брутфорсеры для рдп, один ты знаешь про какой-то эксплойт который рдп на 1-2-3 взламывает )) | ||
CepeLLlka 46 - 07.10.16 - 09:26 | (0)Ломают RDP? :) Могут сломать, если пароль 123456
Если у тебя нормальный пароль, ну и желательно не использовать на внешку порт по умолчания 3389, тогда не страшно. | ||
пипец 47 - 07.10.16 - 15:55 | (46) ломают не сам рдп и не только сам рдп ))) но так у меня пытались серв несколько раз увести (торчал не выключаюсь наружу 2003 без обновлений) даже раза вошли в учетку - так что при желании
ЗЫ на пиццот милиардный раз сервер пентагона таки согласился что его пароль маоцзедун (с) )) | ||
eRik 48 - 07.10.16 - 16:03 | (0) В случае приступа паранойи гуглить "rdp port knocking" и счастливых поисков ботнетам и всяким хакерам открытого рдп наружу. | ||
Gary417 49 - 07.10.16 - 16:04 | (45) рдп бесполезно брутфорсить, сколькобы брутфорсер не стоил, по умолчанию учётка лочится после 3-5 попыток
поищите дистирибутивы для пентестеров, очень познавательная вещь | ||
Gary417 50 - 07.10.16 - 16:04 | (49) *дистрибутивы |
|
Список тем форума
|