RDP kiengedése internetre

Ha egy VPS-re rakok egy win10-et, akutálisra frissítem, majd egy (erős jelszóval) kiengedem a RPD portot a netre, akkor két nap alatt meg fogják törni? Vagy elég "biztonságos"? Oké, de ha nem az, akkor hogy érdemes megoldani? 

Feladat: linux alól akarom elérni a win10-et, ami tőlem messze van. winspecifikus szoftvert kell használnom, viszont local gépet nem tudok most üzembe helyezni.

Hozzászólások

Sokan kiteszik. Ha muszáj, akkor ilyesmikben gondolkodnék:

- Csak adott IP címekről lehessen elérni
- A hálózat típusa "nyilvános" legyen
- Minden más bejövőt tilts le

Én soha nem teszek ki publikus IP-re Windows szervert. A nagy könyv szerint szabad, hiszen van neki RRAS szerepköre, továbbá Exchange, IIS, miegymás, ami publikus hálózaton futást feltételez(het). Én inkább bezárom egy VPN mögé őket, de van olyan eset is hogy csak egy sima Linux tűzfal van előtte ami vagy adott IP címekről, vagy mint írtam, VPN-en át enged kapcsolódni.

Lehet, hogy hülyeség, de felhúzni openvpn szervert a winre ?
vpn be, aztán rdp.

 

http://www.micros~1
Rekurzió: lásd rekurzió.

Kérdés, melyik a server, ami folyton, 0-24 fut, netán fix ip-vel rendelkezik. nyilván a "win a client" egyszerűbb sokkal, legalábbis nekem, de ha az egy szerverközpontban van és örökké megy, akkor mégiscsak oda kellene a server rész

http://www.micros~1
Rekurzió: lásd rekurzió.

Szerkesztve: 2023. 09. 06., sze – 16:10

Vagy elég "biztonságos"?

NEM!

Ha "muszáj" akkor ezekből amit csak lehet csinálj meg:

Szűrj forrás IP-re a tűzfalon, ha lehet.
Szűrj országra a tűzfalon, ha lehet.
Ne a default porton menjen, ne a 3389 legyen.
A tűzfal blokkolja a port scan-t.
Csak VPN-en lehessen elérni.
Nagyon sűrűn válts jelszavakat, mindegyik felhasználónak aki a gépen van.
Kapcsold be a "Hide User Accounts from Login Screen"-t.
Tegyél fel valamilyen jelszó próbálkozást kiszűrő szoftvert, pl. Heimdal.
Legyen 2FA például DUO.

Hirtelen ennyi jut szembe, de biztos mondanak még a többiek.

 

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Szerkesztve: 2023. 09. 06., sze – 16:19

szerintem esélyesen meg lehet csinálni úgy is, hogy a windows gépen egy openssh szerver fut. Azt hiszem újabb win kiadásokban alapból elérhető win feature, nem is kell külső forrásból telepíteni.
https://learn.microsoft.com/en-us/windows-server/administration/openssh…

Aztán azt az ssh-t kellő biztonságúra, kulcsos és kulcs jelszavas bejelentkezésre beállítve lehet nyitni egy ssh tunnelt a saját gép közt és aztán a localhostos portra lehet kapcsolódni
Talán ez is olyasmit ír le
https://www.cloudthat.com/resources/blog/a-guide-to-access-rdp-through-…

Vagy persze a fent emlegetett openvpn is megteszi. A lényeg, hogy ne a sérülékeny win protokollokat és portokat engedd ki.

Konkret tunnel sem kell, csak egy SSH szerver a win10-en (vagy barmelyik masik gepen ami vele egy helyi halozatban van) Ahogy irtad, ujabb winekben alapbol van openssh, de telepiteni sem nagy kunszt.

https://learn.microsoft.com/en-us/windows-server/administration/openssh…

En igy hasznalom.

Remmina Linuxrol alapbol lekezeli az SSH-n keresztuli csatlakozast, win alol a MobaXterm szintugy.

https://i.ibb.co/RTQPWWm/IgeGk.png

https://i.ibb.co/pWJD4CC/image.png

RDP-t kiengedni csak addig biztonságos, amíg nem találnak egy újabb sebezhetőséget benne....

wireguard?

 

Mondjuk  ha valami public cloudban futtatod, és csak akkor kell, hogy fusson, amikor használod is, akkor kapcsolgathatod fel-le. Valamennyivel kisebb az esélye, hogy beszívsz egy 0-dayt, ha nem fut folyton, és lényegesen olcsóbb is.

2db VPS. Az első egy tűzfal/VPN koncentrátor. Mögötte a Win10. Örülsz.

Imo? :)

Alám egyszer toltak ilyen szart a "közbeszversenyszférából", ugyan megtörni nem törték de állandóan sírtak akik használták, hogy nem tudnak belépni mert a botok nagyon szerettek volna. 

Hosszu eveken keresztul hasznaltam Windows szervereket RDP-vel. Kell ra egy 2FA (Duo security pl)

ZeroTier-rel egy halozatba rakod es meg fix IP sem kell, router mogott is pihenhet. 

Esetleg AnyDesk vagy Teamviewer? Vagy nem otthoni használatra lesz?