Blokowanie, spowalnianie lub zatrzymywanie masowych prób logowania do RDP

23

Sesja zdalna z nazwy klienta a przekroczyła maksymalną dozwoloną liczbę nieudanych prób logowania. Sesja została przymusowo zakończona.

Jeden z serwerów został dotknięty atakiem słownikowym. Mam wszystkie standardowe zabezpieczenia (przemianowane na Administrator itp.), Ale chcę wiedzieć, czy istnieje sposób na ograniczenie lub zablokowanie ataku.

Edycja : serwer jest tylko zdalny. I trzeba RDP do niego dostęp.

windows-server-2008-r2 Eduardo Molteni
źródło
Pytanie chronione jako dość popularne i gromadzące kilka niskiej jakości odpowiedzi.
Rob Moir,

Odpowiedzi:

29

Zablokuj RDP na zaporze. Nie wiem, dlaczego tak wielu ludzi na to pozwala. Jeśli potrzebujesz protokołu RDP na serwerze, skonfiguruj VPN.

Jason Berg
źródło
3
@EduardoMolteni: Jak twierdzi Jason, zablokuj RDP na zaporze i użyj VPN.
GregD
5
@Eduardo - Prawidłowa czynność to VPN w. To nadal zapewni ci potrzebny dostęp. Jeśli nalegasz na zezwolenie na dostęp RDP do swojego serwera, robisz to na własne ryzyko. Nie ma popularnego narzędzia ani metody ograniczania tych ataków. Dobrzy administratorzy po prostu blokują ruch. Jeśli chcesz spróbować, możesz zmodyfikować program Evana tutaj serverfault.com/questions/43360/... w celu wyszukiwania połączeń RDP. Nie jestem pewien, czy to jest jakaś opcja, ale to prawdopodobnie Twoja najbliższa szansa.
Jason Berg,
2
@EduardoMolteni: Odniosłeś złe wrażenie, jeśli myślisz, że nie jesteśmy „miłymi ludźmi” lub „szalonymi”, a jeśli angielski nie jest twoim pierwszym językiem, być może nie są to pierwsze wyroki, do których powinieneś dojść? Po prostu zastanawiałem się, dlaczego kilka osób wspomniało o skonfigurowaniu VPN, a ty ciągle mówiłeś: „Potrzebuję RDP, aby uzyskać do niego dostęp”. Nadal możesz korzystać z RDP za pośrednictwem połączenia VPN ...
GregD
7
Nie jestem pewien, dlaczego tak bardzo sprzeciwiasz się zezwoleniu na RDP. Szyfrowanie nie jest takie złe, jak https. Po skonfigurowaniu sieci VPN wszystko, co zasadniczo robisz, to zmiana obiektu, który atakujący musiałby użyć brutalnej siły. Jeśli VPN korzysta z prostego uwierzytelniania za pomocą hasła zintegrowanego z tym samym systemem uwierzytelniania, co host RDP, to naprawdę niewiele się zmieniłeś.
Zoredache,
7
Dziwi mnie, że ludzie mogliby zawinąć jedną usługę zdalnego dostępu w inną, gdy tak mało korzyści. VPN można brutalnie wymusić jak wszystko inne. Blokowanie kont na podstawie prób RDP jest po prostu głupie. Raczej skonfiguruj tak 150 niepoprawnych haseł z dowolnego adresu IP w ciągu 24 godzin blokuje ten adres IP. Jeśli jest to tak duży problem, nie używaj haseł.
Alex Holst,
11

Zmień port i praktycznie wszystkie ataki zostaną zatrzymane.

Ataki zwykle nie są skierowane konkretnie do Ciebie, ale do wszystkich adresów IP. Dlatego nie będą próbować portów innych niż domyślne, ponieważ po prostu nie jest tego warte; próba następnego adresu IP jest większa o rząd wielkości niż próba użycia następnego portu.

Thomas Bonini
źródło
19
Podczas polowania na lwa musisz prześcignąć najwolniejszą gazelę, aby przeżyć.
IslandCow,
Instrukcje, jak to zrobić, można znaleźć na stronie support.microsoft.com/kb/306759
mailq
7

Teoretycznie można to osiągnąć za pomocą narzędzia zwanego systemem zapobiegania włamaniom (IPS). Idealnie byłoby, gdyby to urządzenie było urządzeniem poza twoim systemem Windows. Zbudowanie reguły w zaporze Linux iptables w celu zablokowania ruchu siłowego jest dość łatwe.

W oddzielnym pytaniu, o którym wspomina Evan, opracował skrypt, który zarządzałby zaporą systemu Windows na podstawie awarii w OpenSSH. Być może będziesz mógł dostosować jego kod, aby zastosować go tutaj, jeśli musisz to zrobić na samym pudełku Windows.

Zoredache
źródło
4

Jedyne, co potrafię wymyślić, dlaczego twój serwer jest atakowany ogromną liczbą prób RDP, to możliwość połączenia RDP z Internetem. Wyłącz ten dostęp z Internetu i wszystko powinno być w porządku. Użyj VPN jak wszyscy inni, jeśli potrzebujesz RDP na serwer z zewnątrz. Jeśli są to próby wewnętrzne, masz większy problem, który prawdopodobnie oznacza, że ​​ktoś zostanie skończony z powodu próby słownikowego ataku na serwer wewnętrzny ...

sierpień
źródło
lub w sieci jest złośliwe oprogramowanie.
gravyface
Muszę mieć możliwość RDP z Internetu. Po prostu chcesz ograniczyć, abyś nie mógł zalogować się kilka razy na sekundę
Eduardo Molteni,
1
@Eduardo - zostało już powiedziane dwukrotnie. Umieść coś pomiędzy Internetem a tym serwerem. Czy to VPN, tunel SSH, TS Gateway itp. Do diabła, jeśli martwisz się, że jest to automatyczny atak wynikający ze skanowania portów, przenieś port RDP do czegoś mniej oczywistego.
Aaron Copley,
2
@EduardoMolteni: Dzięki VPN nadal możesz RDP z Internetu. Dlaczego nadal przeglądasz część VPN?
GregD
@Aaron: Nie złość się. Po prostu uczę się tutaj opcji.
Eduardo Molteni,
4

Jeśli znasz adresy IP komputerów, które wymagają RDP do tego serwera przez Internet, skonfiguruj router / zaporę, aby zezwalał tylko na ruch RDP z tych adresów IP lub zakresów adresów IP. Jeśli przychodzące komputery PC korzystają z DHCP od swojego ISP, umieszczenie zakresów adresów IP ISP w twojej zaporze ogniowej przynajmniej zablokuje większość prób losowego logowania.

KJ-SRS
źródło
2

Możesz zmienić port na inny niż domyślny port RDP. To wciąż pozwoli ci się połączyć, ale nieco utrudni to znalezienie RDP na twoim komputerze.

http://support.microsoft.com/kb/306759

Darryl Braaten
źródło
Mam konfigurację RDP w mojej sieci domowej ... ale zmieniłem ją na routerze na niestandardowy port. zamierzał przynajmniej zmienić porty, ponieważ myślę, że udaremniłoby to wszystko oprócz absolutnie najbardziej dedykowanych włamań.
WernerCD,
1

Używamy rozplątania, aby chronić naszą sieć i łączymy kilka zdalnych lokalizacji. Prosta konfiguracja na PC, szybka instalacja i konfiguracja, pełnia opcji zapory ogniowej, dostarczana z serwerem OpenVPN.

Rozplątanie routera

wprowadź opis zdjęcia tutaj

integratorIT
źródło