Атака на порт 3389
-
Добрый день. В NAT проброшен порт ХХХХХ на порт 3389 моего ПК. Сегодня мой антивирус забил тревогу, вывалив кучу сообщений о блокировании соединения через порт 3389.
Временно в pfSense удалил соответствующую строку в NAT. Сначала отпустило, но потом пропал интернет, пришлось перезагружаться - видимо эта хурма продолжается.Как вообще средствами самого pfSense следить за подобными атаками и как защититься, если порт наружу всё-таки нужен?
-
А чего вы ждали, выставив наружу один из самых популярных портов?
Откройте еще и 445, если машина не обновлена, подхватите еще и популярный шифровальщик WannaCry.Как вообще средствами самого pfSense следить за подобными атаками и как защититься, если порт наружу всё-таки нужен?
Порт со стандартного вы вроде сменили, но это полумера. Правильное решение - VPN -
Спасибо за Ваш ответ.
Понятно, что такие действия равносильны слабоумию спрашивающего. Но на такое решение пришлось пойти не просто так. VPN есть, но давать доступ к нему определённым людям (с
временным доступом) не следовало. Поэтому приняли решение открыть порт на один ПК, нежели давать доступ к целой закрытой подсети. Меньшее из двух зол.Случаи бывают разные.
Хотелось бы подробнее узнать про мониторинг средствами pfSense.
-
Спасибо за Ваш ответ.
Понятно, что такие действия равносильны слабоумию спрашивающего. Но на такое решение пришлось пойти не просто так. VPN есть, но давать доступ к нему определённым людям (с
временным доступом) не следовало. Поэтому приняли решение открыть порт на один ПК, нежели давать доступ к целой закрытой подсети. Меньшее из двух зол.Случаи бывают разные.
Хотелось бы подробнее узнать про мониторинг средствами pfSense.
Включите лог на соответствующем правиле - будет вам мониторинг. Но реакции на попытки вторжения pfSense "из коробки" вам не обеспечит, придется осваивать пакеты Snort\Suricata.
А давать доступ через VPN к сети необязательно. 1 правилом на VPN-интерфейсе вы можете дать доступ к одному\любым IP.
Да и человек, получивший RDP к одному PC из RDP-сесии получает доступ к сети, с чем тоже придется бороться. -
2 dTinside
Посмотрите еще на http://guacamole.incubator.apache.org/, https://wiki.autosys.tk/proxmox.Установка-RDP-VNC-шлюза-Guacomole-под-Ubuntu-12.ashx, https://www.ostechnix.com/apache-guacamole-access-computer-anywhere-via-web-browser/ , http://www.smllr.nl/2015/03/12/guacamole-behind-an-nginx-proxy/Разворачивается на любых *nix. Получается единая точка входа для RDP,VNC,SSH.
Есть нюансы с пробросом принтеров и локальных дисков клиентских, но решаемо. Как driveless-принтер можно пользовать Savapage - https://wiki.nethserver.org/doku.php?id=userguide:savapage
-
@oleg1969:
Можно сменить дефолтный порт 3389(rdp) на какой нибуть другой типа 33089 (какой? на свое усмотрение !)
Все это делается средствами Винды (на конкретном ПК) лучший вариант через реестр
Ну и пробросить его наружу
Боты будут меньше долбить, так как порт не популярныйP.S
Можно также не меняя дефолтный порт 3389 сделать редирект порта из вне
Добрый день. В NAT проброшен порт ХХХХХ на порт 3389 моего ПК. Сегодня мой антивирус забил тревогу, вывалив кучу сообщений о блокировании соединения через порт 3389.
Временно в pfSense удалил соответствующую строку в NAT. Сначала отпустило, но потом пропал интернет, пришлось перезагружаться - видимо эта хурма продолжается.Как вообще средствами самого pfSense следить за подобными атаками и как защититься, если порт наружу всё-таки нужен?
Судя по проброшен порт ХХХХХ наружу торчит все же не 3389.
-
ТС же явно пишет, что наружу выставлен не 3389, а "левый" порт. Замена через реестр - это защита от сканирования внутри сети.
Дилему "дать доступ только к 1 ПК по RDP или к целой сети по VPN" Я решил фаерволом на VPN интерфейсе:
1. Создал 2 (можно больше) экземпляра OPVN сервера, соответственно с разными подсетями, сертификатами и портами. (+ разные экземпляры нагружают разные ядра).
2. В настройках фаервола, на интерфейсе VPN, создал правила: кому надо (админам и т.д.) конектятся на 1й OVPN - всё везде. Всем левым - 2й OVPN и только 3389 порт на сервер терминалов. -
Доброе.
Но мне все таки больше нравится TightVNC
Это только для управления. Полноценный терминал для множ-ва пол-лей (как с RDP) с VNC не выйдет.
