Come arrestare la porta 3389 senza perdere RDP?

Question

Una scansione di sicurezza aziendale del nostro server web in diretta riporta (correttamente) 3389 (la porta standard per l'accesso al desktop remoto) come aperta e ci richiede di chiuderla.

Sfortunatamente il server è in realtà remoto e abbiamo bisogno di accesso RDP.

Allo stesso modo, porta 21 per FTP.

Abbiamo password complesse per l'accesso FTP e RDP.

C'è una soluzione? Dovrei semplicemente configurare i servizi per l'esecuzione su porte diverse? (Sembra niente di più di sicurezza attraverso l'oscurità)

Answer 1

Ho scritto un articolo su questo qui con un sacco di foto:

http://www.iteezy.com/change-rdp-3389-port-on-windows-2008-server/qc/10098

Sommario:

1. Cambio di registro in HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ TerminalServer \ WinStations \ RDP -Tcp \ PortNumber da 3389 al numero di porta

2. Consentire il numero di porta all'interno di Windows 2008 Firewa ll (e specifica l'ambito degli indirizzi IP che possono accedere al server tramite RDP - questo è opzionale ma una buona pratica di sicurezza).

3. Riavviare il servizio RDP o riavviare il server

Answer 2

ci sono un paio di opzioni ...

porta

1) Blocco 3389 solo dalla scansione di sicurezza del servizio/software, per ingannare il software nel pensare che la porta 3389 è chiuso, anche se in realtà non lo è. :) (Probabilmente non è una buona idea nella maggior parte dei casi)

2) Richiedere agli utenti RDP di connettersi tramite una VPN. Questo potrebbe essere un problema, ma migliorerebbe la sicurezza e probabilmente renderà felice lo scanner di sicurezza.

Non so molto sui protocolli RDP, ma FTP (a meno che non si utilizzi FTPS) invia le password in chiaro, quindi non importa quanto siano "forti" le tue password - le stai mandando chiaramente visibile a chiunque curiosce sulla tua connessione Internet. Richiedere che le connessioni FTP vengano solo da macchine connesse alla VPN risolverebbe anche questo problema.

Answer 3

Dal punto di vista di qualcuno che gestisce i controlli della sicurezza per le aziende globali - avete alcune opzioni, ma prima:

educare il senior management sui rischi di RDP e FTP - dovrebbe essere la loro chiamata se si mantiene il loro utilizzo e accettare il rischio, ridurre il rischio con i controlli di sicurezza supplementari, oppure sostituirli con qualcosa di completamente diverso

Quindi le opzioni sono:

• sollevare un'eccezione nel Registro dei rischi - alti dirigenti accettarlo
• Come per @Flimzy - l'esecuzione di una VPN per i siti remoti ha il senso migliore dal punto di vista tecnico: è quindi possibile continuare a utilizzare FTP, RDP, qualunque sia (noti problemi di sicurezza) perché fornisci uno strato di forte di sicurezza (VPN)
• Sostituire RDP e FTP con meccanismi di connessione più sicura

io certamente non imboccare la strada di cercare di ingannare il controllo di sicurezza - tutto ciò che fa è dirigenza tregua a pensare lì non è un problema, e potrebbe tornare a morderti in vari modi costosi, possibilmente inclusa la responsabilità personale!

Answer 4

Se soddisfa le tue esigenze, puoi anche limitare l'accesso a Porta RDP solo per pochi indirizzi IP "sicuri" di origine. Questo può essere fatto con la maggior parte dei firewall software, incluso Windows FW incorporato.