Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: TomKala222 09. 07. 2015, 16:46:57
-
Ahoj všem,
rád bych se poptal, zda má někdo zkušenosti s blokováním RDP attacku na firewallu Dell SonicWall. Mám nyní nasazenou sondu FlowMon, která mi neustále zobrazuje RDP útoky ze zemí jako Španělsko, Thaiwan, Brazilie atd...
Jaký je nejvhodnější postup pro zabránění tomuto útoku na WS terminálový server ?
Děkuji
-
Obecně:
1) používat jiný port než výchozí 3389
2) používat na firewallu filtrování dle států (pokud nepřistupují klienti z celého světa)
3) používat RD Gateway
4) pužívat AD policy na silná hesla
-
Jinej nez vychozi port nevysvetlis userum, filtrovani dle statu vetsinou pouzit nemuzes a moc nepomuze, navic na to, aby ty widle sezraly veskery CPU netreba ani se pokusit o autorizaci, staci posilat porad dokola connect (jo, vazne, vyzkousej, nejakych 10/s staci na to, aby to sezralo veskerej vykon 8 jader).
Jakoz takoz se to da osefovat omezeni poctu new konexi z ip, ja mam trebas nastaveno 10 a pak na hodinu ban. (proc ne min, protoze widle posilaj "pro sychr" vzdycky vsechno 2x nebo i 3x .... kvalitni SW). Takze to vystaci na 3-5 pokusu, coz prevazne staci i trotlum.
-
Počet konexi za hodinu lze nastavit pomoci group policy ?
-
https://github.com/EvanAnderson/ts_block
-
Ja to vyresil tak, ze stroje na ktere je treba se spojit pres RDP komunikuji v ramci RDP jen v subnetu VPN......jednoduse receno..nejses ve VPN nespojis se na RDP
Dale by se stroj s RDP mohl strict do domeny....a pro utocnika trefit domenu, usera a jeste heslo...to by musela byt snad nahoda :-)