Атака на порт 3389



  • Добрый день. В NAT проброшен порт ХХХХХ на порт 3389 моего ПК. Сегодня мой антивирус забил тревогу, вывалив кучу сообщений о блокировании соединения через порт 3389.
    Временно в pfSense удалил соответствующую строку в NAT. Сначала отпустило, но потом пропал интернет, пришлось перезагружаться  - видимо эта хурма продолжается.

    Как вообще средствами самого pfSense следить за подобными атаками и как защититься, если порт наружу всё-таки нужен?



  • А чего вы ждали, выставив наружу один из самых популярных портов?
    Откройте еще и 445, если машина не обновлена, подхватите еще и популярный шифровальщик WannaCry.

    Как вообще средствами самого pfSense следить за подобными атаками и как защититься, если порт наружу всё-таки нужен?
    Порт со стандартного вы вроде сменили, но это полумера. Правильное решение - VPN



  • Спасибо за Ваш ответ.

    Понятно, что такие действия равносильны слабоумию спрашивающего. Но на такое решение пришлось пойти не просто так. VPN есть, но давать доступ к нему определённым людям (с
    временным доступом) не следовало. Поэтому приняли решение открыть порт на один ПК, нежели давать доступ к целой закрытой подсети. Меньшее из двух зол.

    Случаи бывают разные.

    Хотелось бы подробнее узнать про мониторинг средствами pfSense.



  • @dTinside:

    Спасибо за Ваш ответ.

    Понятно, что такие действия равносильны слабоумию спрашивающего. Но на такое решение пришлось пойти не просто так. VPN есть, но давать доступ к нему определённым людям (с
    временным доступом) не следовало. Поэтому приняли решение открыть порт на один ПК, нежели давать доступ к целой закрытой подсети. Меньшее из двух зол.

    Случаи бывают разные.

    Хотелось бы подробнее узнать про мониторинг средствами pfSense.

    Включите лог на соответствующем правиле - будет вам мониторинг. Но реакции на попытки вторжения pfSense "из коробки" вам не обеспечит, придется осваивать пакеты Snort\Suricata.
    А давать доступ через VPN к сети необязательно. 1 правилом на VPN-интерфейсе вы можете дать доступ к одному\любым  IP.
    Да и человек, получивший RDP к одному PC из RDP-сесии получает доступ к сети, с чем тоже придется бороться.



  • 2 dTinside
    Посмотрите еще на http://guacamole.incubator.apache.org/, https://wiki.autosys.tk/proxmox.Установка-RDP-VNC-шлюза-Guacomole-под-Ubuntu-12.ashx, https://www.ostechnix.com/apache-guacamole-access-computer-anywhere-via-web-browser/ , http://www.smllr.nl/2015/03/12/guacamole-behind-an-nginx-proxy/

    Разворачивается на любых *nix. Получается единая точка входа для RDP,VNC,SSH.

    Есть нюансы с пробросом принтеров и локальных дисков клиентских, но решаемо. Как driveless-принтер можно пользовать Savapage - https://wiki.nethserver.org/doku.php?id=userguide:savapage



  • Можно сменить дефолтный порт 3389(rdp) на какой нибуть другой типа 33089 (какой? на свое усмотрение !)
    Все это делается средствами Винды (на конкретном ПК) лучший вариант через реестр
    Ну и пробросить его наружу
    Боты будут меньше долбить, так как порт не популярный

    P.S

    Можно также не меняя дефолтный порт 3389 сделать редирект порта из вне



  • @oleg1969:

    Можно сменить дефолтный порт 3389(rdp) на какой нибуть другой типа 33089 (какой? на свое усмотрение !)
    Все это делается средствами Винды (на конкретном ПК) лучший вариант через реестр
    Ну и пробросить его наружу
    Боты будут меньше долбить, так как порт не популярный

    P.S

    Можно также не меняя дефолтный порт 3389 сделать редирект порта из вне

    @dTinside:

    Добрый день. В NAT проброшен порт ХХХХХ на порт 3389 моего ПК. Сегодня мой антивирус забил тревогу, вывалив кучу сообщений о блокировании соединения через порт 3389.
    Временно в pfSense удалил соответствующую строку в NAT. Сначала отпустило, но потом пропал интернет, пришлось перезагружаться  - видимо эта хурма продолжается.

    Как вообще средствами самого pfSense следить за подобными атаками и как защититься, если порт наружу всё-таки нужен?

    Судя по проброшен порт ХХХХХ наружу торчит все же не 3389.



  • ТС же явно пишет, что наружу выставлен не 3389, а "левый" порт. Замена через реестр - это защита от сканирования внутри сети.

    Дилему "дать доступ только к 1 ПК по RDP или к целой сети по VPN" Я решил фаерволом на VPN интерфейсе:
    1. Создал 2 (можно больше) экземпляра OPVN сервера, соответственно с разными подсетями, сертификатами и портами. (+ разные экземпляры нагружают разные ядра).
    2. В настройках фаервола, на интерфейсе VPN, создал правила: кому надо (админам и т.д.) конектятся на 1й OVPN - всё везде. Всем левым - 2й OVPN и только 3389 порт на сервер терминалов.



  • @pigbrother:

    Судя по проброшен порт ХХХХХ наружу торчит все же не 3389.

    Не дочитал  :-\

    Но мне все таки больше нравится TightVNC



  • Доброе.

    Но мне все таки больше нравится TightVNC

    Это только для управления. Полноценный терминал для множ-ва пол-лей (как с RDP) с VNC не выйдет.