Рассмотрим такой немаловажный вопрос «Как защитить дедик?», который беспокоит думаю что многих.
Давайте вначале уточним что именно мы защищаем и от кого.
Ну во первых, предметом защиты является доступ по протоколу RDP
Во вторых — конечно же от множественных «юных (и не очень) бруттеров», которые не спят, а дни и ночи напролет сканируют/брутят, сканируют/брутят, сканируют/брутят и так до посинения их самих и ихних брутов.
Ради интереса, как то зайдя в логи одного из дедиков, нашел до 15 атакующих IP адресов в течение суток, каждый из которых перебрал N-ное количство разных комбинаций логинов и паролей. Исходя из этого, становится вовсе неудивительным, что вы приобретя дедик, не успев еще толком на нем освоиться — в один прекрасный момент получаете сообщение о неверном логине/пароле, и это ДАЛЕКО не всегда дело рук админа. Скорее всего — это «Добрые соседи».
Исходя из этого, перед нами ставится важная задача — защитить дедик от последующих неугоных нам проникновений со стороны НЕ легитимных пользователей.
Как то глянул в интернете на эту тему и увидел кучу всякого видео, которое особо ничего не проясняет и некоторые статьи наподобие данной:
«Наверно каждый задавался вопросом защиты дедика? Сначала начнем о самом надежном способе — коротко: это поставить любой фаерволл на сервак и назначить правила доступа для пользователей дедика, ну и конечно же — себе. Но описывать этот метод не буду, так как имеется один огромный недостаток — это наличие нового, постороннего софта на дедике. Администратор в любом случае рано или поздно это обнаружит, со всеми вытекающими последствиями.
Лучше пользоваться именно стандартным фаерволом. Windows Fire Wall, От нас требуется — просто включить его на дедике (если эта служба остановлена) и затем произвести нужные настройки. Этот метод вполне применим к Windows XP, Win2003 и к остальным операционным системам».
Важно учесть что этот метод не будет работать если у Вас нет статического IP адреса. (динамический IP — каждый раз новый при подключении к интернету — не подойдет как ни увы.).
Далее, открываем панель управления, ищем там значок Windows Firewall и затем запускаем его естественно.
Объяснения буду приводить для русской версии — но на других языках все интуитивно понятно должно быть!
После вышеописанного переходим на вкладку «Исключения». Опустимся вниз до появления строчки, связанной с удаленным рабочим столом, ставим там галку и жмем на кнопку «Изменить».
Тут выскочит окошко, в котором ставим галку на пункте единственном — TCP 3389 и жмем «Изменить область».
Получаем еще одно окно.
В этом новом окне мы переводим переключатель выбора на последний режим — «Особый список». Поля ввода становится активным. Вот мы и добрались до самого важного. Тут нам нужно указать свой IP адрес для доступа к компьютеру посредством mstsc.
Сначала нам надо определить свой реальный адрес.
Идем на всем известный 2ip.ru (Не реклама), где на главной странице видим свой IP.
Выделяем и копируем полученный адрес себе в буфер и вставляем поле ввода. Жмем кнопку «Ок». И сохраняем наши настройки.
Это правило, созданное нами будет автоматически проверять входящие подключения. И если ваш IP адрес не будет соответствовать указанному в правилах которые мы только что настроили — то вы уже не сможете попасть на сервак.»
Собственно статья конечно неплоха, но нужно учесть еще ряд нюансов:
— каждый законный пользователь сервера должен иметь возможность на него беспрепятственно попасть (а работают они зачастую именно через RDP)
— конечно же не должен быть обижен и сам администратор сервера, ибо от силы его обиды напрямую зависит то — сколько вы после всех этих манипуляций продержитесь на дедике.
В связи с этим не стоит забывать о старом но простом способе ограничения доступа к дедику извне — как запрет на вход на сервер терминалов, который можно включить в каждой учетной записи дедика.
Как этим пользоваться и что можно еще предпринять для защиты своего дедика — мы рассмотрим в следующих публикациях. Купить дедик можно перейдя по ссылке.
Спасибо за внимание.