我有一台公共专用服务器,客户端可以通过 RDP 登录。我使用 rdpguard 来阻止服务器上的恶意 RDP 登录尝试。最近,我将其锁定,只允许特定 IP 地址通过 Windows 防火墙。
我是否仍需要像 rdpguard 这样的程序来阻止这些攻击,或者我可以将其删除并释放 rdpguard 使用的资源?它现在有用吗,还是防火墙阻止他们尝试登录?
我没有硬件防火墙,也无法为我的情况获取硬件防火墙,所以请避免这个话题。
谢谢你!
答案1
Windows 防火墙不一定能“阻止”您的计算机对 TCP 端口 3389 进行暴力攻击。它只是通过访问控制列表过滤那些您允许使用该端口/服务的人。即使使用 Windows 防火墙,RDP 服务也可能会受到多种攻击。如果您尚未使用 SSL,我建议您按照本文中的详细说明进行操作来自 technet 的指导。
我会将 RDPGuard 保留在你的系统上,作为“穷人的”纵深防御
答案2
好吧,如果您拒绝除客户端 IP 之外的所有 IP 的访问,那么 rdpguard 所做的就是阻止来自客户端的恶意登录尝试。
可能没有必要继续跑步,但话又说回来,这也无害。
答案3
Windows 防火墙实际上只能有效地处理第 3 层,而您应该一直关注第 7 层,即应用程序层过滤。Technet 指出这里那:
除某些文件传输协议 (FTP) 流量外,Windows 防火墙不使用应用程序层信息来状态过滤流量。
虽然该文章针对的是 Server 2003,但同样适用于 2008。虽然我没有使用过 rdpgaurd,但它似乎只进行日志监控而不是真正的流量检查。
回答您的问题:实施的安全措施应与您所保护的数据的价值成正比。对于内部服务器,第 3 层保护可能就足够了,但对于面向公众的服务器,您应该在不妨碍操作的情况下实施尽可能多的安全措施。所以在我看来,是的,如果您关心您的客户和您作为服务提供商的声誉,那么您需要保护您的外部系统。此外,您应该使用专门为这种情况设计的产品。在不知道您的操作参数的情况下,既然您说硬件是不可能的,请查看 Microsoft 的 Forefront 产品线。否则,大多数主要的网络/安全(McAfee、Cisco、F5、Checkpoint 等)供应商都会根据您的预算提供一些软件解决方案。
答案4
请记住,RDPGuard 仅依赖 Windows 事件日志来阻止传入的 IP 地址。有多种方法可以绕过这一点,这意味着该应用程序不会获取攻击者的 IP 地址,也不会对此采取任何措施。
最好将 RDP 默认端口(3389)更改为其他端口。