настройка правил МЭ для RDP

[kvazer13]

Добрый день. Хочу настроить фильтрацию трафика для подключения по RDP, что бы подключаться можно было только с определенных подсетей.

Это связано с тем, что на мой компьютер постоянно идут атаки брутфорса RDP.

Но в пакетном фильтре не получается настроить даже полный запрет на подключения.

Вот при таких настройках я всё еще могу подключаться с любого адреса, хотя по идеи все подключения по RDP должны блокироваться.

[andrew75]

@kvazer13, проверьте, будет ли работать в таком виде:

  Reveal hidden contents

Это стандартное запрещающее RDP пакетное правило.

[kvazer13]

  On 10/7/2023 at 10:36 AM, andrew75 said:

@kvazer13, проверьте, будет ли работать в таком виде:

  Reveal hidden contents

Это стандартное запрещающее RDP пакетное правило.

Expand  

Повторил настройки, но доступ всё ровно есть. Ощущение, что правило не применилось, несмотря на то, что я сохранил его.

[Friend]

Добрый день, @kvazer13,
Обратите внимание, что сетевой экран проверяет правила по списку сверху вниз. Если несколько правил имеют одинаковые параметры, но разные значения, Сетевой экран будет использовать правило, которое находится выше.
Чтобы изменить положение правила в списке, нажмите на него и используйте кнопки вниз или вверх.

В вашем случае созданное вами правило стоит самым первым? Если да, попробуйте перезагрузить компьютер.

[kvazer13]

Да, действительно правило было в самом конце списка. Теперь доступ блокируется.

Подскажите, пожалуйста, как корректно настроить, что бы доступ блокировался для всех, кроме конкретных подсетей (у меня есть список внешних пулов адресов, с которых я сам подключаюсь к компьютеру)?

[andrew75]

Создаете разрешающие правила для каждой подсети и помещаете их выше запрещающего.

[Maratka]

А чем атаки мешают? Я к тому, что если это перебор, а-ля миллион в минуту - ну да, одно ядро процессора будет ими только и занято. А если хотя бы тысяч 50 - ну может и черт с ними, атаками?

Опять же, нужно понимать, что они реальные, эти атаки, а не фикция. У меня такое было, правда давно, сейчас возможно уже оно на уровне детекта атак исправлено - p2p клиент подключался к ноутбуку, который расшаривал интернет по квартире вместо роутера, ну и KIS на этом ноутбуке бесился, и адреса блокировал: он видел несколько сотен IP, которые к нему одновременно коннектятся, и оно ему не нравилось.

[kvazer13]

  On 10/7/2023 at 11:35 AM, Maratka said:

А чем атаки мешают? Я к тому, что если это перебор, а-ля миллион в минуту - ну да, одно ядро процессора будет ими только и занято. А если хотя бы тысяч 50 - ну может и черт с ними, атаками?

Опять же, нужно понимать, что они реальные, эти атаки, а не фикция. У меня такое было, правда давно, сейчас возможно уже оно на уровне детекта атак исправлено - p2p клиент подключался к ноутбуку, который расшаривал интернет по квартире вместо роутера, ну и KIS на этом ноутбуке бесился, и адреса блокировал: он видел несколько сотен IP, которые к нему одновременно коннектятся, и оно ему не нравилось.

Expand  

Масштабы перебора не знаю, но как то дискомфортно мне ? а вдруг подберут? 

Да и на случай компрометации учетной записи пусть лучше будет еще защита в виде МЭ.

  On 10/7/2023 at 11:27 AM, andrew75 said:

Создаете разрешающие правила для каждой подсети и помещаете их выше запрещающего.

Expand  

Всё получилось. Спасибо!

 

[Maratka]

  On 10/7/2023 at 11:39 AM, kvazer13 said:

Масштабы перебора не знаю, но как то дискомфортно мне ? а вдруг подберут? 

Expand  

Оно в отчете будет.

Ну а раз получилось то что хотели - хвала Аллаху!, главное, чтобы потом оно не отвалилось где-то, вида что будет блокироваться то, что нужно пропускать.

[Friend]

  On 10/7/2023 at 11:39 AM, kvazer13 said:

а вдруг подберут?

Expand  

Здесь стоит ограничить и количество возможных попыток входа, сложность пароля и сменить стандартный порт на какой-нибудь другой, тогда шансы удачного подбора резко снизятся.