Estou na seguinte situação, terei um novo servidor conectado à Internet (se necessário, com um firewall entre a rede e simplesmente descartando todos os pacotes em portas diferentes daquela em que meu aplicativo está escutando).
Não requer nenhum serviço/recurso, não há instalação de terceiros, exceto o meu programa em execução nele (aplicativo de console respondendo diretamente às solicitações http).
Há algo específico que devo fazer para reduzir a área exposta? Isto é para um servidor independente, sem rede interna, sem domínio, sem nada, apenas precisando iniciar um aplicativo de console e uma área de trabalho remota nele (só eu, para fins de administração).
Além de bloquear todas as portas, exceto aquelas usadas pelo meu aplicativo e RDP no nível do firewall, há algo que eu deva alterar/desabilitar e que talvez não tenha pensado ou uma nova instalação já está minimamente exposta?
A segurança deste servidor é crítica, então sinta-se à vontade para adicionar sugestões de "nível paranóico", desde que não proíbam que um aplicativo escute e responda ao tráfego http em uma determinada porta
Responder1
Você pode tentar converter o servidor para executar o Server Core, eliminando a maior parte da GUI. Isso diminuirá a superfície de ataque e, como bônus extra, você precisará de menos patches para permanecer seguro. No entanto, nem todos os aplicativos suportam isso.
O Firewall do Windows ficou muito bom com o passar dos anos e você pode criar regras extremamente rígidas com as configurações avançadas do firewall. Eu façonãoacredito que deixar o RDP aberto é menos seguro do que deixar a VPN aberta. Ambas são conexões criptografadas e podem ser facilmente contornadas por ataques de força bruta.
Uma maneira de evitar a maioria dos ataques de força bruta RDP é alterar a porta de escuta RDP no registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
Certifique-se de adicionar regras de firewall para permitir o tráfego RDP na porta personalizada antes de aplicar as alterações!
Também sugiro que você crie uma nova conta de administrador (se ainda não o fez) com um nome de usuário um tanto aleatório, use ummuitosenha forte e desative a conta interna de "Administrador".