Имея опыт работы с Linux, а теперь управляя несколькими серверами Windows (2008R2 и 2012R2), мне интересно, какие службы безопасно запускать напрямую через Интернет. Все серверы имеют выход в Интернет без дополнительного аппаратного брандмауэра или внутренней сети управления VPN.
Сомнительные услуги:
- RDP (в стандартной конфигурации)?
- MSSQL (2012)?
- Активный каталог?
- WSUS (без домена, если 3. небезопасно)?
После некоторых исследований я знаю, что RDP был небезопасен по крайней мере в ранних версиях Windows (2003) и AD, похоже, в целом считается небезопасным. Является ли все еще разумной идеей туннелировать RDP через SSH (все серверы работают под управлением cygwin)?
Спасибо за ваш совет!
решение1
Мое мнение в таких случаях - блокировать все порты, кроме тех, которые требуются серверу для выполнения его основной задачи (http/s, ftp, sql server), и даже тогда ограничивать эти порты только определенными блоками IP, когда это возможно. Не настраивайте никаких удаленных подключений для этих серверов, за исключением необходимых служб.
Затем развернитехозяин бастиона. Это чрезвычайно защищенный хост, который поддерживает удаленное подключение (ssh, rdp, vpn) и позволит вам дважды переходить на другие хосты. Я знаю, что многие считают это ненужным и излишним, но, честно говоря, это самый безопасный способ.
решение2
RPD следует использовать только через VPN.
SQL может подключаться к определенному порту, поэтому это должно быть безопасно.
Зачем запускать AD на стороне Интернета? Если вам нужно запустить его на том же сервере, подключенном к Интернету, вам следует тщательно проверить политики безопасности перед тем, как это сделать.
WSUS глючит и небезопасен. WSUS может даже сообщать, что все актуально, не применяя давно созданные исправления. Это делает систему уязвимой и может повлиять на политики безопасности. Лучше сэкономьте немного времени для исправления, когда это необходимо, и отключите WSUS.