Segurança Acesso RDP externo



  • pessoal bom dia blz?

    Quais sugestões para maior segurança de acesso rdp em um servidor interno, pensei em limitar os acessos, criando um alias com os ips publicos do pessoal, mas são muitos e dinamicos, daria muito trabalho, outra opção seria vpn, mas o cliente nao quer.
    Pensei se tem como limitar os acessos pelo mac address dos micros de origem..

    O que sugerem por favor?



  • Ou você restringe as origens confiáveis ou faz VPN!



  • Use outra porta que não seja a padrão. ex. faça um nada da porta 89 para 3389.

    em alguns casou eu uso o cidr do brasil, liberando todos os ips do brasil, não é 100%, mas ja resolve algumas coisas…

    Se precisar crie um alias url table com este endereço http://www.ipdeny.com/ipblocks/data/aggregated/br-aggregated.zone atualizando em 7 dias, ou conforme necessidade, que vai pegar todas faixada de ips do brasil.



  • @Reinaldo:

    Use outra porta que não seja a padrão. ex. faça um nada da porta 89 para 3389.

    em alguns casou eu uso o cidr do brasil, liberando todos os ips do brasil, não é 100%, mas ja resolve algumas coisas…

    Se precisar crie um alias url table com este endereço http://www.ipdeny.com/ipblocks/data/aggregated/br-aggregated.zone atualizando em 7 dias, ou conforme necessidade, que vai pegar todas faixada de ips do brasil.

    O que mais tem aqui é Ramsonware atacando RDP!



  • @Cléio.Sousa:

    pessoal bom dia blz?

    Quais sugestões para maior segurança de acesso rdp em um servidor interno, pensei em limitar os acessos, criando um alias com os ips publicos do pessoal, mas são muitos e dinamicos, daria muito trabalho, outra opção seria vpn, mas o cliente nao quer.
    Pensei se tem como limitar os acessos pelo mac address dos micros de origem..

    O que sugerem por favor?

    Sou da mesma opinião que o Tomas informou.

    O ideal seria a VPN. A rede que gerencio eu faço o seguinte:

    • Tem IP publico estático, crio a regra e fica tudo ok.
    • Não tem IP publico estático. Peço que crie um DNS dinâmico. Tem alguns free na net, mas eu particularmente sugiro o duckdns, pois é fácil e tem vários tutoriais.

    Preze pela segurança, pois se acontecer algo é no "teu" que vai cair o problema! :D



  • Vou ver a VPN, este cliente já pegou ransomware duas vezes, não neste servidor, mas em outro, e tiramos ele da rede, agora tudo está neste.

    O cliente até tem ip fixo, o problema que os usuários não, alguns trabalham de casa, outros precisam acessar de váris lugares diferentes, 3g, etc, a restrição limitando estes ip´s vai dar dor de cabeça.



  • Uma pergunta, consigo por um acaso limitar o acesso ao servidor rdp pelo mac adrres dos micros?



  • Para responder sua pergunta a melhor resposta seria você entender a VPN, melhor coisa que você, principalmente se você tem usuários que fazem acesso externo por 3G etc.



  • @Cléio.Sousa:

    Uma pergunta, consigo por um acaso limitar o acesso ao servidor rdp pelo mac adrres dos micros?

    Acho que o pfsense não faz isso. Talvez um switch layer 2 possa fazer, mas como tu quer acesso externo pro teu servidor rdp, acredito que não vai ser viável da mesma forma.



  • Entendi pessoal, desculpe as perguntas talvez sem nexo, mas era minha dúvida, pelo que entendi a melhor opção é VPN, pensei no OPenVpn, pelo que li neste post:

    https://vinyanalista.github.io/blog/2016/06/26/como-criar-uma-vpn-pfsense-openvpn/#.WKH2dVUrLDc

    parece ser simples de configurar, alguma dica, sugestão ou objeção ?



  • Achei o tutorial bem completo.



  • @Reinaldo:

    Use outra porta que não seja a padrão. ex. faça um nada da porta 89 para 3389.

    em alguns casou eu uso o cidr do brasil, liberando todos os ips do brasil, não é 100%, mas ja resolve algumas coisas…

    Se precisar crie um alias url table com este endereço http://www.ipdeny.com/ipblocks/data/aggregated/br-aggregated.zone atualizando em 7 dias, ou conforme necessidade, que vai pegar todas faixada de ips do brasil.

    Pois é, essa semana estava monitorando o LOG do firewall, e o que tinha de tentativa de conexão nas portas 23,22 e 3389 não era brincadeira.

    Tenho configurado um redirecionamento de portas RDP como o colega falou.

    Um amigo me deu uma outra dica que estou pensando seriamente e adotar, que é alterar a porta padrão do serviço, direto no windows server. Ao invés de manter a 3389, configuraria uma outra aleatória.

    Uma outra medida que penso em adotar é colocar uma senha extremamente forte no usuário Administrador, e criar um usuário com um nome qualquer mas com os mesmo poderes. Dessa forma, ainda que alguém consiga fechar a conexão RDP, quando chegar na autenticação, certamente o primeiro usuário que ele vai tentar quebrar a senha é o usuário que ele sabe que existe, ou seja, o administrador. Poderia também desabilitar o usuário administrador.

    Para seu cenário, acho que a VPN é a melhor coisa. Aqui tenho o OpenVPN para Home office, e IPSEC para VPN site-to-site com um cliente.



  • @dbastos:

    Um amigo me deu uma outra dica que estou pensando seriamente e adotar, que é alterar a porta padrão do serviço, direto no windows server. Ao invés de manter a 3389, configuraria uma outra aleatória.

    Não faz diferença vc redirecionar a porta pelo NAT ou mudar a porta no servidor. A vantagem de redirecionar é que não precisa mudar as conexões nas redes locais.