Мой веб-сервер находится в США, и доступ к нему осуществляется из моего дома в Канаде с помощью подключения к удаленному рабочему столу, стандартный порт.
Неавторизованные лица пытались войти в систему из многих стран, некоторые делали это более 10000 раз в день, пока в конце концов не сдавались.
если порт RDP изменен на нестандартный, весьма вероятно, что эти люди просто будут перебирать порты, пока не найдут переназначенный порт RDP, а затем продолжат попытки подобрать пароль методом подбора?
Мой страх перед неизвестностью заключается в том, что для смены порта мне придется использовать подключение к удаленному рабочему столу. Безопасно ли это?
Каков риск остаться запертым?
Кроме того, вместо того, чтобы сообщать RDC о необходимости перехода по «IP-адресу моего сервера», следует ли в будущем доступ выражать как «IP-адрес моего сервера:новый порт RDP»?
решение1
if the RDP port is changed to a non-standard port, it is very likely that these people will simply iterate ports until they locate the re-assigned RDP port and then continue to try to brute force the password?- Да, это, скорее всего, произойдет.
My fear of the unknown is that to change the port it would be done by me via Remote Desktop Connection; is it safe?- Это безопасно для текущего сеанса. Изменение порта прослушивания по умолчанию требует перезагрузки сервера, поэтому все будет в порядке, пока вы не перезагрузите сервер после внесения этого изменения.
What is the risk of locking myself out?- Довольно низкий для существующего сеанса. Риск заключается в том, что после внесения изменений и перезагрузки сервера вы можете быть лишены доступа к серверу, если перед сервером находится сетевой брандмауэр, который разрешает только подключения к порту по умолчанию на сервере.
Also, instead of telling RDC to go to "my server ip address", would future access have to be expressed as "my server ip address:new RDP port"?- Да.
решение2
Риск потери доступа к серверу при смене порта RDP невелик, но все же он есть.
Перед изменением порта RDP проверьте все брандмауэры, за которыми находится сервер, и убедитесь, что новый порт не заблокирован.
Также убедитесь, что вы можете получить доступ к консоли, если это необходимо (удалённые руки, друг, имеющий доступ к серверу, удалённый IP KVM, что угодно). Это, вероятно, хорошо для любого сервера в любом случае.
Отвечая на ваш последний вопрос, да, вам придется каждый раз указывать номер порта в RDP-подключении.
Последний совет: даже если вы меняете номер порта, на котором слушает RDP, злоумышленник все равно может установить соединение. Убедитесь, что все учетные записи имеют надежные пароли, и отключите учетную запись администратора, если это возможно.
решение3
Не пытайтесь изменить порт RDP на сервере.
Не ждите, что изменение номера порта автоматически сделает RDP безопасным.
Установите перед сервером брандмауэр, который сможет контролировать RDP-трафик, входящий и исходящий с вашего сервера.
Настройте свой брандмауэр на пересылку трафика с нестандартного порта на стандартный порт RDP 3389. Ниже я объясню, почему. Насколько мне известно, встроенный брандмауэр Windows этого не сделает, но другие брандмауэры сделают.
Настройте свой брандмауэр так, чтобы он разрешал трафик на вашем порту RDP из вашей домашней системы и запрещал RDP из всего остального. В зависимости от брандмауэра и других параметров, это может означать получение статического IP для вашей домашней системы или настройку динамической службы DNS, или это может означать написание правил брандмауэра на основе известных mac-адресов, которые вы используете.
Чтобы избежать простого переноса этой проблемы на интерфейс вашего брандмауэра, вы хотите настроить его так, чтобы ваш брандмауэр можно было настроить только через RDP. Тем не менее, это должно снизить риск блокировки. Вы достигаете этого, настраивая нестандартное правило переадресации портов на вашем брандмауэре в дополнение к стандартному порту RDP, чтобы вы могли безопасно протестировать новое правило. Напишите правило брандмауэра для нужного вам порта, проверьте, что оно блокирует доступ из случайного местоположения (например, библиотеки), но по-прежнему разрешает доступ из дома. Затем заблокируйте доступ на обычном порту после того, как вы успешно протестируете правило (или наоборот: используйте нестандартный порт в качестве меры предосторожности, пока вы не протестируете правило на стандартном порту).
И, конечно же, на самом деле вам следует настроить VPN-подключение к вашему серверу... но даже при использовании VPN-подключения вам понадобится брандмауэр, контролирующий доступ.
решение4
IMHO, небезопасно выставлять RDP напрямую в интернет. Я рекомендую рассмотреть возможность использования VPN, как уже упоминалось. Если есть какие-то причины не использовать VPN. Измените порт в правиле NAT вашего брандмауэра и настройте правила, которые блокируют сканирование портов.