Prohibir, ralentizar o detener los intentos masivos de inicio de sesión en RDP

23

La sesión remota desde el nombre del cliente superó el máximo permitido de intentos fallidos de inicio de sesión. La sesión fue terminada por la fuerza.

Uno de los servidores está siendo golpeado por un ataque de diccionario. Tengo toda la seguridad estándar en su lugar (renombrado Administrador, etc.) pero quiero saber si hay una manera de limitar o prohibir el ataque.

Editar : el servidor es solo remoto. Yo necesito RDP para acceder a ella.

windows-server-2008-r2 Eduardo Molteni
fuente
La pregunta protegida es bastante popular y reúne algunas respuestas de baja calidad.
Rob Moir

Respuestas:

29

Bloquee RDP en el firewall. No sé por qué tanta gente permite esto. Si necesita RDP en su servidor, configure una VPN.

Jason Berg
fuente
3
@EduardoMolteni: Como Jason afirma, bloquee RDP en el firewall y use una VPN.
GregD
55
@Eduardo: lo correcto es hacer una VPN. Eso aún te daría el acceso que necesitas. Si insiste en permitir el acceso RDP a su servidor, lo hace bajo su propio riesgo. No existe una herramienta o método popular para limitar estos ataques. Los buenos administradores de sistemas simplemente bloquean el tráfico. Si desea probarlo , tal vez pueda modificar el programa de Evan aquí serverfault.com/questions/43360/… para buscar conexiones RDP. No estoy seguro de si esa es incluso una opción, pero probablemente sea su oportunidad más cercana.
Jason Berg
2
@EduardoMolteni: ¿Te has equivocado si crees que "no somos buenas personas" o estamos "locos" y si el inglés no es tu primer idioma, quizás esos no sean los primeros juicios? Simplemente me preguntaba por qué varias personas habían mencionado la configuración de una VPN y usted seguía diciendo: "Necesito RDP para acceder a ella". Todavía puede RDP a través de una conexión VPN ...
GregD
77
No estoy seguro de por qué estás tan en contra de permitir RDP. El cifrado no es tan malo, igual que https. Al configurar una VPN, todo lo que básicamente está haciendo es cambiar el objeto que un atacante necesitaría para aplicar la fuerza bruta. Si la VPN utiliza autenticación de contraseña simple integrada en el mismo sistema de autenticación que el host RDP, entonces realmente no ha cambiado mucho.
Zoredache
77
Me sorprende que las personas envuelvan un servicio de acceso remoto en otro cuando hay tan poco beneficio. La VPN puede ser forzada como cualquier otra cosa. Bloquear cuentas basadas en intentos de RDP es una tontería. En lugar de eso, configure 150 contraseñas incorrectas de cualquier IP dentro de las 24 horas que bloquean esa IP. Si este es un problema tan grande, no use contraseñas.
Alex Holst el
11

Cambia el puerto y prácticamente todos los ataques se detendrán.

Los ataques generalmente no se dirigen específicamente a usted, sino a todas las IP. Por lo tanto, no intentarán puertos no predeterminados porque simplemente no vale la pena; probar la siguiente IP tiene posibilidades de órdenes de magnitud mayores que probar el siguiente puerto.

Thomas Bonini
fuente
19
Cuando te persigue un león, solo debes escapar de la gacela más lenta para sobrevivir.
IslandCow
Las instrucciones sobre cómo hacerlo se pueden encontrar en support.microsoft.com/kb/306759
mailq
7

Teóricamente, esto se lograría utilizando una herramienta llamada sistema de prevención de intrusiones (IPS). Idealmente, este dispositivo sería un dispositivo fuera de su caja de Windows. Crear una regla en un firewall de iptables de Linux para bloquear el tráfico de fuerza bruta es bastante fácil.

En una pregunta separada, Evan menciona que desarrolló un script que administraría el firewall de Windows basado en fallas en OpenSSH. Es posible que pueda adaptar su código para aplicarlo aquí, si debe hacerlo en el propio cuadro de Windows.

Zoredache
fuente
4

Lo único que se me ocurre por qué su servidor está siendo golpeado con una gran cantidad de intentos de RDP es que puede RDP desde Internet. Desactive este acceso desde Internet y debería estar bien. Use una VPN como todos los demás si necesita RDP al servidor desde el exterior. Si se trata de intentos internos, entonces tiene un problema mayor que probablemente implique que alguien sea despedido por intentar atacar el diccionario a un servidor interno ...

agosto
fuente
o hay malware en la red.
gravyface
Necesito poder hacer RDP desde internet. Solo quiero limitar para que no pueda intentar iniciar sesión varias veces por segundo
Eduardo Molteni
1
@Eduardo - Ya se ha dicho dos veces. Poner algo entre Internet y este servidor. Ya sea VPN, un túnel SSH, Puerta de enlace de TS, etc. Demonios, si le preocupa que se trate de un ataque automático resultante de la exploración de puertos, mueva el puerto RDP a algo menos obvio.
Aaron Copley
2
@EduardoMolteni: Con VPN todavía puedes RDP desde internet. ¿Por qué sigues pasando por alto la parte de VPN?
GregD
@ Aaron: No te enojes. Solo estoy aprendiendo las opciones aquí.
Eduardo Molteni
4

Si conoce las direcciones IP de las PC que necesitan RDP a este servidor a través de Internet, configure su enrutador / firewall para permitir solo el tráfico RDP de esas IP o rangos de IP. Si las PC entrantes están en DHCP desde su ISP, colocar los rangos de IP del ISP en su firewall al menos bloquearía la mayoría de los intentos de inicio de sesión aleatorio.

KJ-SRS
fuente
2

Puede cambiar el puerto a un puerto RDP no predeterminado. Esto aún le permitirá conectarse, pero dificultará un poco que alguien encuentre RDP en su máquina.

http://support.microsoft.com/kb/306759

Darryl Braaten
fuente
Tengo la configuración RDP en mi red doméstica ... pero la cambié en el enrutador a un puerto no estándar. iba a sugerir, al menos, cambiar los puertos, ya que creo que eso frustraría todos los trucos menos los más dedicados.
WernerCD
1

Usamos desenredar para proteger nuestra red y conectar pocas ubicaciones remotas. Instalación simple en PC, instalación y configuración rápidas, todas las opciones de firewall, viene con el servidor OpenVPN.

Enrutador desenredado

ingrese la descripción de la imagen aquí

integratorIT
fuente