eu ainda preciso bloquear ataques no meu servidor uma vez que eu bloquear por ip?

Navegue suas respostas
1

Eu tenho um servidor dedicado público em que os clientes efetuam login via RDP. Eu estou usando o rdpguard para bloquear tentativas ruins de logins RDP no meu servidor. Recentemente, troquei para permitir apenas endereços IP específicos através do firewall do Windows.

Ainda preciso de um programa como o rdpguard para bloquear esses ataques ou posso removê-lo e liberar os recursos que o rdpguard usa? Está servindo a um propósito agora ou o firewall está impedindo que eles sequer tentem fazer o login?

Eu não tenho um firewall de hardware e não consigo obter um para o meu cenário, por favor, evite este tópico.

Obrigado!

    
por JohnDoe 11.01.2014 / 05:31

4 respostas

3

O Firewall do Windows não necessariamente "bloqueia" sua máquina contra ataques de força bruta na porta TCP 3389. Ele apenas filtra por meio de uma lista de controle de acesso para aqueles que você está permitindo a utilização dessa porta / serviço. Existem muitas maneiras de atacar o serviço RDP, mesmo com um firewall do Windows. Se você ainda não usa o SSL, recomendamos fazer isso conforme detalhado neste howto da technet .

Eu manteria o RDPGuard no seu sistema como um "homem pobre". defesa em profundidade

    
por 11.01.2014 / 06:36
2

Bem, se você está negando o acesso a todos, menos o IP do seu cliente, tudo o que o rdpguard estaria fazendo é bloquear tentativas de login incorretas do seu cliente.

Provavelmente não é necessário continuar correndo, mas, novamente, não faz mal.

    
por 11.01.2014 / 05:35
0

O Firewall do Windows realmente faz apenas um trabalho efetivo, abordando até a camada 3, enquanto você deve procurar todo o caminho até a camada 7, a filtragem da camada de aplicação. A Technet declara aqui que:

With the exception of some File Transfer Protocol (FTP) traffic, Windows Firewall does not use Application layer information to statefully filter traffic.

Embora esse artigo seja para o Server 2003, o mesmo é verdadeiro para 2008. Embora não tenha usado o rdpgaurd, parece que ele só faz o monitoramento de logs em vez da inspeção de tráfego real.

Para responder à sua pergunta: A quantidade de segurança implementada deve ser proporcional ao valor dos dados que você está protegendo. Para um servidor interno, a proteção da camada 3 pode ser suficiente, mas para um servidor voltado para o público, você deve implementar toda a segurança que puder sem prejudicar a operação. Então, na minha opinião, sim, se você se preocupa com seus clientes e com sua reputação como provedor de serviços, precisa proteger seus sistemas externos. Além disso, você deve estar usando algo especificamente projetado para tal cenário. Sem conhecer seus parâmetros operacionais e desde que você afirmou que o hardware está fora de questão, dê uma olhada na linha de produtos Microsoft Forefront. Caso contrário, a maioria dos principais fornecedores de rede / segurança (McAfee, Cisco, F5, Checkpoint, etc.) tem alguma solução de software, dependendo do seu orçamento.

    
por 11.01.2014 / 15:24
0

Lembre-se, o RDPGuard depende exclusivamente do Log de Eventos do Windows para bloquear endereços IP de entrada. Existem várias maneiras de contornar isso, o que significa que o aplicativo não selecionará o endereço IP do invasor e não fará nada a respeito.

Seria melhor que você altere a porta padrão do RDP (3389) para outra.

    
por 31.12.2015 / 14:56

Tags

Como atualizar o apache2 para PCI Qual é a melhor maneira de mesclar dois diretórios no mesmo sistema de arquivos no linux?