Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Повышение безопасность RDP + сети

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Slaiderr



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет.
Итак что имеется - Mikrotik с 4 ISP; локальная а так же Wi-Fi сети. Домен 2008R2 работающий в режиме терминалов. 1С 8.3 развернута на этом же сервере, 3 NAS в локальной гигабитной сети (Synology x2 + Qnap). Это коротко, Wi-Fi пока не трогаем.
В качестве клиентов, как удаленных так и локальных в основне своей это Ubuntu 14.04 (70%), а так же Win10 (30%)
Цель - повысить и более менее стандартизировать безопасность сети так как постоянные RDP пофиг откуда + живые NAS с важной информацией
цель №2 (поставлена задача)  внедрить систему сертификатов как дополнительный инструмент авторизации клиентов в идеале входа в сеть, а как минимум входа на сервер терминалов.
на данный момент на Микротике поднят аналог dyndns получая адрес клиенты из под Ubuntu (remmina или аналоги) заходят на сервер 2008.
что касается самой локальной сети то в ней до 80 машин + около  40 IP камер + wi-fi + Rdp
Mikrotik чисто маршрутизатор, все комутаторы "тупые" то бишь неуправляемые.
 
Буду ОЧЕНЬ рад Вашим советам, если есть попутные неосвещенные вопросы - все расскажу\покажу)

Всего записей: 26 | Зарегистр. 30-03-2006 | Отправлено: 12:15 11-04-2017 | Исправлено: Slaiderr, 12:15 11-04-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Slaiderr
Вопрос сто раз уже поднимался. За 11 лет так фильтром пользоваться и не научился?
Поднимай в сети VPN сервер, и будет тебе щастье.  
Ничего лучше для безопасности пока не придумали.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 12:26 11-04-2017
Slaiderr



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо большое за совет, но VPN не решает все вопросы сети.
- по удаленным подключениям - ну да, надежно, но с позиции эндюзера - неудобно до жути + без настройки - его домашний порно-трафик через шлюз компании, что не кошерно.
- по локальным - не очень представляю себе организацию vpn?

Всего записей: 26 | Зарегистр. 30-03-2006 | Отправлено: 12:31 11-04-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Slaiderr
Цитата:
но с позиции эндюзера - неудобно до жути  
Удобство и безопасность находятся в обратной зависимости.
А по локальной сети методы безопасности уже другие, от примитивных до самых жестких.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 13:32 11-04-2017
Ed_73



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. нужен план. От кого защищаться? изнутри ли снаружи, или то и другое.
2. уровень паранои какой? кругом враги, даже, возможно, я?
3. что делать с врагами? найди и обезвредить (с актом протоколом и прч)? просто присечь и  заблокировать?
от сюда и баланс как сказал выше vlary, удобство и безопасность. Так можно и кровь сдавать при логине.
Хочется вам сертификаты и флешки? дело хорошее и даже удобное (при грамотой настройке). Но затратное. Двухфакторной авторизации обыно достаточно.+ ipsec в локалке для параноиков (должность такая)

Всего записей: 137 | Зарегистр. 07-09-2007 | Отправлено: 22:18 11-04-2017
Slaiderr



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Интересно!  
Раскажите про IPSec в локальной сети (75% что нужно)
от кого защищаться? от внутри (25%) и снаружи (75%)
с врагами? - просто кикать т.н. - присечь заблокировать
Уровень паранои - враги в основном бывшие работники, текучка большая
и да - хочется сертификаты как минимум

Всего записей: 26 | Зарегистр. 30-03-2006 | Отправлено: 00:18 12-04-2017
marlin24

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Начни с элементарного, поменяй на входе порт RDP со стандартного и бань адреса, которые будут упорно ломиться на него. Мало кто из китайцев ломится на нестандартные порты. Если без паранойи или людей, которые целенаправленно хотят тебя заломать, то этого вполне хватит. Тоже самое можно сделать и с FTP, если его используешь.

Всего записей: 91 | Зарегистр. 09-11-2006 | Отправлено: 10:49 12-04-2017
Ed_73



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Раскажите про IPSec в локальной сети (75% что нужно)  

https://technet.microsoft.com/en-us/library/cc730656(v=ws.11).aspx

Цитата:
от кого защищаться? от внутри (25%) и снаружи (75%)  

достаточно vlan'ов, dmz и грамотного ACL

Цитата:
просто кикать т.н. - присечь заблокировать

IPban на github посмотри
 

Всего записей: 137 | Зарегистр. 07-09-2007 | Отправлено: 23:16 12-04-2017
Slaiderr



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
СПасибо большое за наводку.
А что подскажите по сертификатам на подключение RDP ? обязательно условие внедрения ((

Всего записей: 26 | Зарегистр. 30-03-2006 | Отправлено: 10:16 13-04-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Повышение безопасность RDP + сети


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru