Использование Microsoft RDP, на сколько безопасно это дело? Предисловие: хочу на удаленном компьютере Windows 2008 настроить RDP для удаленного подключения, сам я не администратор, занимаюсь 1С по большей части(админские вопросы решаю по необходимости), всех азов не знаю, но человек который занимается администрированием говорит что ломают сервера через RDP, так ли это на самом деле? и лучше пользоваться программой типа TeamWiever, на которую нужна лицензия для пользования на серверных ОС. Есть ли какие опровержения , или советы по настройке RDP? про смену портов многие знают, но ведь это не предел?

порты прокинуть шлюз + впн

ну то что спрятаться за железку эт думаю понятно + многие ставят линух как транзит - но таки это за для админа
ЗЫ луччше воизбежание пригласить чела чтобы настроил разово и поддерживал по мере так сказать, или ломай коленки сам по форумам
ЗЫЫ помню ису ставил и пробрасывал наружу - было весело по младости знаний )

(0) Достаточно не открывать рдп во внешку и все будет хоккей. Закрыть за какой-нибудь джамп хост.

(2) Если сделать как ты говорищь, прокинуть порты, настроить VPN и шлюз, насколько вероятность что взломают?

(0) IP статический? тогда впн и смело юзать рдп
а так да, рдп ломают

(3) Перенаправление портов поможет как нибудь?

(4) 50%

(5) С динамическим ip вообщем не стоит, правильно?

(8) ну а как еще найти свой сервак в интернетах? разве что юзать сторонний динамический днс

Сами какими средствами пользуетесь для удаленного администрирования?

(10) я только так (1)

(6) По сути джамп хост это железка которая как раз и занимается маршрутизацией из одной сети в другую, только защищенная иптаблами и прочимпрочим. А вообще рдп так себе штука, с никсами намного удобнее по ссх.

(0)У меня несколько раз ломали RDP. Даже когда был сложный пароль. Есть программы для подбора. Короче лучше ставить VPN + RDP

(10) от брута только варианты менять соединение впна и пароли и прочее изменяемое с некоторым так сказать энтузиазмом раз в ...
ЗЫ смотря для чо тебе доступ в (0) нужен , у мну на серверной оси с открытым айпи без впн на мне - держался долго, около года , но меня прикрывал пров - поставил фильтры и разрыв связи с незнакомых ипов, но эт уже по договоренности и было давно и сервак знали мало народу чтобы целенапправленно его брутить - а так , нормально это всё ващет
-
железка + проброс , фильтр на железке + впн + фильтр на сервере

голый RDP выставлять нельзя

(15)+ минимально это дефолтный порт сменить и защита от брута

(15) То есть случайный пароль любой длины ломают за меньшее года время?

мне кажется проблемы с взломами часто надуманные.
дело было давно, кажется даже еще на ХП, у меня статистический IP. что-то проверял, отключил брендмауэр (кроме штатного ничего не было) и забыл на месяц. ничего не сломалось, как работало так работало пока не обнаружил сам.

+18  по защите, учетку Администратор сразу же переименовываю на своих компах, пароль стоял не длинный, все буквы.

(0) У нас используется для надежности RDP+ VPN + Token

(17) подбором ломать бесполезно, но есть вероятность что эксплойт подберут, учитывая гениальную политику многих админов "я отключил Winupdate, потомучто нафигненужно"

А как могут сломать RDP, если админ назван по другому и порт другой? С таким же успехом можно подобрать к VPN.

(22) порт легко ищется, а в остальном см (21)

(23) а чем это отличается от получения доступа к VPN?

если сменить порт и ограничить количество попыток входа, то это защита от взлома через рдп на 4 сигма. А если учесть, что контора ТС никому кроме узкого круга нафиг не нужна, то на 5 сигма
(23) ну просканируй диапазон ростелекома на нестандартные порты с определением службы

(24) VPN можно по сертификатам сделать и вообще более гибко настраивать в плане протоколов шифрования, фареволлов и т.п.

И реализаций VPN туева хуча в отличии от RDP

(25) все сидят в диапазоне ростелекома?

мне достаточно в логи своих vps-ов посмотреть что им на вход прёт из интернета чтобы оценить масштаб бедствия

(25) <. А если учесть, что контора ТС никому кроме узкого круга нафиг не нужна,>

адреса сканируют ботсети, им пофиг что это за контора, они ищут дырки для расширения своей сети на уязвимых хостах

(28) что с портом?

(28) пробрось свои впсы в сетку корбины и смотри логи там)

(30) т.е. мне нужно перенести впсы к другому провайдеру и убедится что кругом рай на земле?

а ничё что корбина и ростелеком не всё на свете обслуживают?

(31) чисто ради аналогии. Ты поселил свои компы в борделе (на публичном хостинге) и удивляешься, что их проверяют. Провайдеров я приводил просто чтобы показать, что на объемах 0,0,0,0 смены порта достаточно для защиты от ботов

(32) у меня есть клиенты у которых RDP торчит наружу на нестандартном порту, больше 5 лет так висели....последние полгода месяца в логи стали сыпаться попытки подключения...порт сменил интересно на сколько хватит

Вы недооцениваете мощность ботнетов

(33) чем подключались тоже надо смотреть, если рдп, то похвалить себя за мониторинг, если ссш, то тоже похвалить, но подешевле чего взять

(17) раз в месяц/два смена пароля (ниразу не простой) + настройки сервера на входе+ прикрывал пров немного + ессно админ не админ по имени и прочее

Голый rdp начиная с сервера 2008 и далее выставлять можно. "Ломаемость" rdp - миф, ноги которого растут с каких-то лохматых времен.

(4) Если VPN будет IPSec или SSL со стойким шифрованием и нормальной защитой (длинный сложный PSK или сертификаты), то вероятность очень низкая. Взлом такого шлюза будет крайне муторным делом, и сильно зависящим от наличия уязвимостей.

(36) Полюбому MS из-за мифов в 2012 выпустил "критический" для всех поддерживаемых версий Microsoft Windows" патч:
https://technet.microsoft.com/library/security/ms12-020
а следом эксплойты появились...

(38) какие именно эксплойты? Ссылку на описание кинешь?

http://www.securitylab.ru/news/421794.php

(40) ну и где там про эксплойт который взламывает рдп? ))

(41) 4. Не публикуйте алгоритмы взлома и ссылки на такие алгоритмы, а также всевозможные "патчи", "крэки", "эмуляторы", "серийные номера", "коды активации" и т.д.
http://www.forum.mista.ru/rules.php

А вообще - если ты не можешь что-то найти, значит оно тебе не нужно.

(36) а в старых системах (Windows XP) есть возможность настроить RDP клиент с высокой степенью защиты?

(43) блаблабла, то то я смотрю до сих пор продаются брутфорсеры для рдп, один ты знаешь про какой-то эксплойт который рдп на 1-2-3 взламывает ))

(0)Ломают RDP? :) Могут сломать, если пароль 123456

Если у тебя нормальный пароль, ну и желательно не использовать на внешку порт по умолчания 3389, тогда не страшно.

(46) ломают не сам рдп  и не только сам рдп ))) но так у меня пытались серв несколько раз увести (торчал не выключаюсь наружу 2003 без обновлений) даже раза вошли в учетку - так что при желании
ЗЫ на пиццот милиардный раз сервер пентагона таки согласился что его пароль маоцзедун (с) ))

(0) В случае приступа паранойи гуглить "rdp port knocking" и счастливых поисков ботнетам и всяким хакерам открытого рдп наружу.

(45) рдп бесполезно брутфорсить, сколькобы брутфорсер не стоил, по умолчанию учётка лочится после 3-5 попыток

поищите дистирибутивы для пентестеров, очень познавательная вещь

(49) *дистрибутивы