настройка правил МЭ для RDP

[kvazer13]

Добрый день. Хочу настроить фильтрацию трафика для подключения по RDP, что бы подключаться можно было только с определенных подсетей.

Это связано с тем, что на мой компьютер постоянно идут атаки брутфорса RDP.

Но в пакетном фильтре не получается настроить даже полный запрет на подключения.

Вот при таких настройках я всё еще могу подключаться с любого адреса, хотя по идеи все подключения по RDP должны блокироваться.

[andrew75]

@kvazer13, проверьте, будет ли работать в таком виде:

Спойлер

Это стандартное запрещающее RDP пакетное правило.

[kvazer13]

26 minutes ago, andrew75 said:

@kvazer13, проверьте, будет ли работать в таком виде:

  Hide contents

Это стандартное запрещающее RDP пакетное правило.

Повторил настройки, но доступ всё ровно есть. Ощущение, что правило не применилось, несмотря на то, что я сохранил его.

[Friend]

Добрый день, @kvazer13,
Обратите внимание, что сетевой экран проверяет правила по списку сверху вниз. Если несколько правил имеют одинаковые параметры, но разные значения, Сетевой экран будет использовать правило, которое находится выше.
Чтобы изменить положение правила в списке, нажмите на него и используйте кнопки вниз или вверх.

В вашем случае созданное вами правило стоит самым первым? Если да, попробуйте перезагрузить компьютер.

[kvazer13]

Да, действительно правило было в самом конце списка. Теперь доступ блокируется.

Подскажите, пожалуйста, как корректно настроить, что бы доступ блокировался для всех, кроме конкретных подсетей (у меня есть список внешних пулов адресов, с которых я сам подключаюсь к компьютеру)?

[andrew75]

Создаете разрешающие правила для каждой подсети и помещаете их выше запрещающего.

[Maratka]

А чем атаки мешают? Я к тому, что если это перебор, а-ля миллион в минуту - ну да, одно ядро процессора будет ими только и занято. А если хотя бы тысяч 50 - ну может и черт с ними, атаками?

Опять же, нужно понимать, что они реальные, эти атаки, а не фикция. У меня такое было, правда давно, сейчас возможно уже оно на уровне детекта атак исправлено - p2p клиент подключался к ноутбуку, который расшаривал интернет по квартире вместо роутера, ну и KIS на этом ноутбуке бесился, и адреса блокировал: он видел несколько сотен IP, которые к нему одновременно коннектятся, и оно ему не нравилось.

[kvazer13]

15 минут назад, Maratka сказал:

А чем атаки мешают? Я к тому, что если это перебор, а-ля миллион в минуту - ну да, одно ядро процессора будет ими только и занято. А если хотя бы тысяч 50 - ну может и черт с ними, атаками?

Опять же, нужно понимать, что они реальные, эти атаки, а не фикция. У меня такое было, правда давно, сейчас возможно уже оно на уровне детекта атак исправлено - p2p клиент подключался к ноутбуку, который расшаривал интернет по квартире вместо роутера, ну и KIS на этом ноутбуке бесился, и адреса блокировал: он видел несколько сотен IP, которые к нему одновременно коннектятся, и оно ему не нравилось.

Масштабы перебора не знаю, но как то дискомфортно мне 🙂 а вдруг подберут? 

Да и на случай компрометации учетной записи пусть лучше будет еще защита в виде МЭ.

23 минуты назад, andrew75 сказал:

Создаете разрешающие правила для каждой подсети и помещаете их выше запрещающего.

Всё получилось. Спасибо!

 

[Maratka]

11 минут назад, kvazer13 сказал:

Масштабы перебора не знаю, но как то дискомфортно мне 🙂 а вдруг подберут? 

Оно в отчете будет.

Ну а раз получилось то что хотели - хвала Аллаху!, главное, чтобы потом оно не отвалилось где-то, вида что будет блокироваться то, что нужно пропускать.

[Friend]

11 минут назад, kvazer13 сказал:

а вдруг подберут?

Здесь стоит ограничить и количество возможных попыток входа, сложность пароля и сменить стандартный порт на какой-нибудь другой, тогда шансы удачного подбора резко снизятся.