Порт кнокинг в помощь, здорово помогает. А про версию ОС из ответа на предыдущий комментарий : Я - старый пират, мне не ведомы слова "подписка" и "лицензия" )))
Вроде на более-менее, современных маршрутизаторах при маппинге портов можно назначать source IP с которых разрешено соединение с проброшенным портом. В любом случае видео интересное.
Замена номера порта ещё как помогает, если твой IP будут целенаправленно сканировать то да это не поможет, но от программ сканирующих IP диапазоны это спасёт, они не будут сканировать все порты каждого IP адресса который они проверяют
Замена порта повысит безопасность, только если банить сканеры. Берем несколько портов рядом с используемым и при попытке обращения заносим их в лист запрета на сутки. Но в идеале порт кнокинг.
Добрый день, в политике безопасности можно настроить, что при 5* (тут любое число может быть) попытках неудачной авторизации ip адрес с которого была попытка авторизации блокируется.
Добрый. Благодарю за комментарий. Да, Вы правы, но это справедливо для удаленных столов MS в серверных средах, но, как правило, из-за более низкой цены используются альтернативы на Win Home или Pro, например, Thinstuff Terminal Server и т.п. ... или даже "удаленные помощники". Речь идет о том, что смена номера порта все равно не поможет, поскольку роботы легко определяют службу. И, кстати говоря, в MS RDP и так была куча уязвимостей, и даже до ввода логина/пароля не доходит - можно выполнить свой код удаленно... Благодарю Вас за внимание к этому видеоролику.
@@Артем-е8р6й Иногда мы фиксируем атаки по 250-400 ip адресов за минуту. Порт кнокинг затрудняет диагностику, поэтому обыно в наших решениях применяется fail2ban с настройками, при которых в бан отправляется любой адрес при 2-кратной попытке входа с неверными авторизационными данными.
Вообще замену порта я делаю постоянно, но не ради безопасности. Как правило за одним белым адресом сидит сеть организации с множеством компьютеров куда нужен доступ по РДП. Поэтому для каждого такого компьютера нужен свой порт, который пробрасывается на 3389 нужеой локальной машины.
Если сис админ не знает таких вещей это не админ а аникей. А сюда я забрел совершенно случайно, по рекомендации Ютуба и решил глянуть вдруг что-то новое расскажут.
Как счастливый обладатель статистики по атакам могу сказать, что смена порта по умолчанию уменьшает количество попыток брутфорса на несколько порядков. Потому что сканирование всего диапазона портов, да еще и с определением висящих на них сервисов это ОЧЕНЬ ресурсоемкая и затратная по времени процедура. Даже вы в своем ролике вынуждены были применить монтаж. Владельцам ботнетов гораздо эффективнее просканировать вместо всех портов одного вашего хоста дефолтный порт на 65 тысячах других. Особенно если файрвол настроен не сразу давать отлуп на закрытых портах а вынуждать атакующего закрывать соединение по таймауту. А на стандартном порту можно повесить honeypot и всех, кто попытается авторизоваться - банить. Главное самому не забыть :). Хотя конечно выставлять наружу RDP - однозначно плохая практика. Лично я пользуюсь пробросом портов через SSH.
Благодарю за комментарий, в котором виден и слог и опыт, со всем соглашаюсь. В нашей практике почти всегда rdp только от OpenVPN-клиентов и через iptables в физические среды.
Все есть. запустите оснастку eventvwr.msc и там фильтруйте по требованиям. Подробнее можно в интернете найти много информации, например: winitpro.ru/index.php/2022/05/31/audit-sobytiya-vxoda-polzovatelej-v-windows/
Полностью согласен, иного быть не должно. Но посмотрите статистику взломов RDP... Это видео отвечает лишь на вопрос, защищает ли смена номера порта от возможности обнаружения служб RDP... Денис Троенко.
Здравствуйте. Как защитить NAS от взлома? Без проброски портов не работает dns, а без dns скорость отдачи сервера около мегабита… Даже с отключенным upnp на роутере ломают и зачастую успешно. На nas включены все возможные защиты, сложные пароли, отключена учетная запись admin и включены двухфакторные проверки. Спасибо!
Добрый день. Спасибо за ваш комментарий. Если NAS QNap, то это больная тема. Если другой производитель - будет плюс-минус одно и то же. Множество служб с уязвимостями. Боюсь показаться банальным, но со стороны Интернет лучше выстраивать защиту с помощью отдельного ПК и ОС Linux. Проще говоря, сетевой экран встроен в ядро Linux, и это отличает Linux от других ОС. Наружу должны быть только SSH и VPN порты (22 и чаще всего 1194), все остальное должно отправляться в DROP сетевым экраном. Должна быть защита от брутфорса, например как стандарт fail2ban. Вся маршрутизация подключающихся к NAS устройств должна быть организована маршрутом VPN-LAN. Уровня защиты устройств (роутеров, сетевых хранилищ) и системных администраторов со скромными навыками обычно далеко недостаточно.
Добрый день, появилось потребность подключить домашний компьютер на Windows к удаленному управлению для редкого использования (пару раз в неделю) некоторых программ, которые недоступны на другом ноутбуке с Mac OS, подскажите, есть ли какие-нибудь идеи как можно сделать, чтобы домашний компьютер не работал неделями, а его можно было бы удаленно запустить в удобное время поработать и после выключить, также удаленно. Пока только начал разбираться в этой теме и из идей в голову пришёл только VPN, но как с ни работать пока не представляю, да и про удаленное включение пк в интернете информации особо не нашёл. В целом реально ли и сложно ли сделать такой удаленный рабочий стол с удаленным включением? Буду очень благодарен, если подскажите какие-нибудь хорошие идеи по безопасному подключению и включения пк
Конечно надо менять порт, я вообще специально ставлю такие порты для атакующих, чтобы время тратили и если много запросов, в бан на минуту. А если вообще пошло дело о безопасности, нужен white list и мозги не парить.
Порт кнокинг в помощь, здорово помогает. А про версию ОС из ответа на предыдущий комментарий : Я - старый пират, мне не ведомы слова "подписка" и "лицензия" )))
Вроде на более-менее, современных маршрутизаторах при маппинге портов можно назначать source IP с которых разрешено соединение с проброшенным портом. В любом случае видео интересное.
Замена номера порта ещё как помогает, если твой IP будут целенаправленно сканировать то да это не поможет, но от программ сканирующих IP диапазоны это спасёт, они не будут сканировать все порты каждого IP адресса который они проверяют
Замена порта повысит безопасность, только если банить сканеры.
Берем несколько портов рядом с используемым и при попытке обращения заносим их в лист запрета на сутки.
Но в идеале порт кнокинг.
Спасибо за комментарий. В нашем стеке мы используем iptables + fail2ban.
@@algorithm_computersчто мешает использовать vpn + сложный пароль на системе ?
Добрый день, в политике безопасности можно настроить, что при 5* (тут любое число может быть) попытках неудачной авторизации ip адрес с которого была попытка авторизации блокируется.
Добрый. Благодарю за комментарий. Да, Вы правы, но это справедливо для удаленных столов MS в серверных средах, но, как правило, из-за более низкой цены используются альтернативы на Win Home или Pro, например, Thinstuff Terminal Server и т.п. ... или даже "удаленные помощники". Речь идет о том, что смена номера порта все равно не поможет, поскольку роботы легко определяют службу. И, кстати говоря, в MS RDP и так была куча уязвимостей, и даже до ввода логина/пароля не доходит - можно выполнить свой код удаленно... Благодарю Вас за внимание к этому видеоролику.
Это не панацея.
Ломают не с одного адреса, там ботнет используют с кучей адресов.
@@Артем-е8р6й Иногда мы фиксируем атаки по 250-400 ip адресов за минуту. Порт кнокинг затрудняет диагностику, поэтому обыно в наших решениях применяется fail2ban с настройками, при которых в бан отправляется любой адрес при 2-кратной попытке входа с неверными авторизационными данными.
Вообще замену порта я делаю постоянно, но не ради безопасности.
Как правило за одним белым адресом сидит сеть организации с множеством компьютеров куда нужен доступ по РДП.
Поэтому для каждого такого компьютера нужен свой порт, который пробрасывается на 3389 нужеой локальной машины.
Если сис админ не знает таких вещей это не админ а аникей. А сюда я забрел совершенно случайно, по рекомендации Ютуба и решил глянуть вдруг что-то новое расскажут.
ну ну
@@RUSSIAN93 ?
Как счастливый обладатель статистики по атакам могу сказать, что смена порта по умолчанию уменьшает количество попыток брутфорса на несколько порядков. Потому что сканирование всего диапазона портов, да еще и с определением висящих на них сервисов это ОЧЕНЬ ресурсоемкая и затратная по времени процедура. Даже вы в своем ролике вынуждены были применить монтаж. Владельцам ботнетов гораздо эффективнее просканировать вместо всех портов одного вашего хоста дефолтный порт на 65 тысячах других. Особенно если файрвол настроен не сразу давать отлуп на закрытых портах а вынуждать атакующего закрывать соединение по таймауту. А на стандартном порту можно повесить honeypot и всех, кто попытается авторизоваться - банить. Главное самому не забыть :).
Хотя конечно выставлять наружу RDP - однозначно плохая практика. Лично я пользуюсь пробросом портов через SSH.
Благодарю за комментарий, в котором виден и слог и опыт, со всем соглашаюсь. В нашей практике почти всегда rdp только от OpenVPN-клиентов и через iptables в физические среды.
логи неудачных попыток на RDP порт где то логируются? в каком файле?
@@ВладиславГришин-ш7ш "Просмотр и анализ логов RDP подключений в Windows" в гугле
@@ВладиславГришин-ш7шне в файлах а в системных журналах винды
есть ли в винде логи неудачных попыток (подбор учеток и паролей) подключения на RDP порт?
Все есть. запустите оснастку eventvwr.msc и там фильтруйте по требованиям. Подробнее можно в интернете найти много информации, например: winitpro.ru/index.php/2022/05/31/audit-sobytiya-vxoda-polzovatelej-v-windows/
А кто мешает из вне закрыть порты tcp/udp с 1 по 7 ?
VPN для доступа надо юзать, а не порты пробрасывать. И access lists не помешают на шлюзе.
Полностью согласен, иного быть не должно. Но посмотрите статистику взломов RDP... Это видео отвечает лишь на вопрос, защищает ли смена номера порта от возможности обнаружения служб RDP... Денис Троенко.
Здравствуйте.
Как защитить NAS от взлома? Без проброски портов не работает dns, а без dns скорость отдачи сервера около мегабита… Даже с отключенным upnp на роутере ломают и зачастую успешно. На nas включены все возможные защиты, сложные пароли, отключена учетная запись admin и включены двухфакторные проверки. Спасибо!
Добрый день. Спасибо за ваш комментарий. Если NAS QNap, то это больная тема. Если другой производитель - будет плюс-минус одно и то же. Множество служб с уязвимостями. Боюсь показаться банальным, но со стороны Интернет лучше выстраивать защиту с помощью отдельного ПК и ОС Linux. Проще говоря, сетевой экран встроен в ядро Linux, и это отличает Linux от других ОС. Наружу должны быть только SSH и VPN порты (22 и чаще всего 1194), все остальное должно отправляться в DROP сетевым экраном. Должна быть защита от брутфорса, например как стандарт fail2ban. Вся маршрутизация подключающихся к NAS устройств должна быть организована маршрутом VPN-LAN. Уровня защиты устройств (роутеров, сетевых хранилищ) и системных администраторов со скромными навыками обычно далеко недостаточно.
@@algorithm_computers Большое спасибо за развернутый ответ! Постараюсь усвоить эту информацию! Еще раз спасибо! (NAS Synology)
Добрый день, появилось потребность подключить домашний компьютер на Windows к удаленному управлению для редкого использования (пару раз в неделю) некоторых программ, которые недоступны на другом ноутбуке с Mac OS, подскажите, есть ли какие-нибудь идеи как можно сделать, чтобы домашний компьютер не работал неделями, а его можно было бы удаленно запустить в удобное время поработать и после выключить, также удаленно. Пока только начал разбираться в этой теме и из идей в голову пришёл только VPN, но как с ни работать пока не представляю, да и про удаленное включение пк в интернете информации особо не нашёл. В целом реально ли и сложно ли сделать такой удаленный рабочий стол с удаленным включением? Буду очень благодарен, если подскажите какие-нибудь хорошие идеи по безопасному подключению и включения пк
Добрый день. Ответили Вам в линии консультаций.
Конечно надо менять порт, я вообще специально ставлю такие порты для атакующих, чтобы время тратили и если много запросов, в бан на минуту. А если вообще пошло дело о безопасности, нужен white list и мозги не парить.