Рассмотрим такой немаловажный вопрос "как защитить дедик?", который беспокоит думаю что многих. Давайте вначале уточним, что именно мы защищаем и от кого.
Ну во первых, предметом защиты является доступ по протоколу RDP
Во вторых - конечно же от множественных "юных (и не очень) бруттеров", которые не спят, а дни и ночи напролет сканят/брутят, сканят/брутят, сканят/брутят и так до посинения их самих и ихних брутов! )))
Ради интереса, как то зайдя в логи одного из дедиков, нашел до 15 атакующих IP адресов в течение суток, каждый из которых перебрал N-ное количство разных комбинаций логинов и паролей. Исходя из этого, становится вовсе неудивительным, что вы приобретя дедик, не успев еще толком на нем освоиться - в один прекрасный момент получаете сообщение о неверном логине/пароле, и это ДАЛЕКО не всегда дело рук админа. Скорее всего - это "добрые соседи".
Исходя из этого, перед нами ставится важная задача - защитить дедик от последующих неугоных нам проникновений со стороны НЕлегитимных пользователей.
Как то глянул в инете на эту тему и увидел кучу всякого видео, которое особо ничего не проясняет и некоторые статьи наподобие данной:
"Наверно каждый задавался вопросом защиты дедика? Сначала начнем о самом надежном способе - коротко: это поставить любой фаерволл на сервак и назначить правила доступа для пользователей дедика, ну и конечно же - себе! Но описывать этот метод не буду, так как имеется один огромный недостаток - это наличие нового, постороннего софта на дедике. Администратор в любом случае рано или поздно это обнаружит, со всеми вытекающими последствиями.
Лучше пользоваться именно виндовый фаером... Windows Fire Wall... От нас требуется - просто включить его на деде (если эта служба остановлена) и затем произвести нужные настройки! Этот метод вполне применим к Windows XP, Win2003 и к остальным "осям".
Важно учесть что ЭТОТ МЕТОД НЕ БУДЕТ РАБОТАТЬ ЕСЛИ У ВАС НЕТ статического IP АДРЕСА! (динамический IP - каждый раз новый при подключении к
интернету - не подойдет как ни увы....).
Далее, открываем панель управления, ищем там значок Windows Firewall и затем запускаем его естественно.
Объяснения буду приводить для русской версии - но на других языках все интуитивно понятно должно быть!
После вышеописанного переходим на вкладку "Исключения". Опустимся вниз до появления строчки, связанной с удаленным рабочим столом, ставим там галку и жмем на кнопку "изменить".
тут выскочит окошко, в котором ставим галку на пункте единственном - TCP 3389 и жмем "изменить область". Получаем еще одно окно.
В этом новом окне мы переводим переключатель выбора на последний режим - "Особый список". Поля ввода становится активным. Вот мы и добрались до самого важного. Тут нам нужно указать свой IP адрес для доступа к компьютеру посредством mstsc.
Сначала нам надо определить свой реальный адрес. Идем на всем известный http://2ip.ru, где на главной странице видим свой IP.
Выделяем и копируем полученный адрес себе в буфер и вставляем поле ввода. Жмем кнопку ок. И сохраняем наши настройки.
Это правило, созданное нами будет автоматически проверять входящие подключения. И если ваш IP адрес не будет соответствовать указаному в
в правилах которые мы только что настроили - то вы уже не сможете попасть на сервак."
Собственно статья конечно неплоха, но нужно учесть еще ряд ньюансов:
- каждый законный пользователь сервера должен иметь возможность на него беспрепятственно попасть (а работают они зачастую именно через RDP)
- конечно же не должен быть обижен и сам администратор сервера, ибо от силы его обиды напрямую зависит то - сколько вы после всех этих манипуляций продержитесь на дедике.
В связи с этим не стоит забывать о старом но простом способе ограничения доступа к дедику извне - как запрет на вход на сервер терминалов, который можно включить в каждой учетной записи дедика.
Как этим пользоваться и что можно еще предпринять для защиты своего дедика - мы рассмотрим в следующих публикациях! Спасибо за внимание.