我有一个公共的专用服务器,客户端通过RDPlogin。 我正在使用rdpguard来阻止在我的服务器上尝试不良的RDPlogin。 最近,我locking它只允许通过Windows防火墙的特定IP地址。
我是否还需要像rdpguard这样的程序来阻止这些攻击,或者我可以删除它并释放rdpguard使用的资源? 它现在是服务于目的还是防火墙阻止他们甚至尝试login?
我没有硬件防火墙,所以请不要为我的情况得到一个,请避免这个话题。
谢谢!
Windows防火墙不一定“阻止”您的计算机免受TCP端口3389上的powershell攻击。它只是通过访问控制列表筛选那些允许使用该端口/服务的计算机。 即使使用Windows防火墙,RDP服务也可能受到很多攻击。 如果你还没有使用SSL,我build议你从technet的这个howto中详细说明。
我会把RDPGuard作为一个“穷人”的防御深入系统
那么,如果你拒绝访问所有客户端的IP,那么所有的rdpguard都会阻止来自客户端的不良login尝试。
可能没有必要继续跑步,但是再次,它不会受伤。
Windows防火墙确实只能处理第3层的有效作业,而应该一直在寻找第7层应用程序层过滤。 Technet 在这里指出:
除了某些文件传输协议(FTP)通信外,Windows防火墙不使用应用程序层信息来有状态地过滤通信。
尽pipe这篇文章是针对Server 2003的,但2008年也是如此。虽然我没有使用rdpgaurd,但它似乎只做日志监控,而不是真正的stream量检测。
回答你的问题:实施的安全数量应该与你所保护的数据的价值成比例。 对于内部服务器来说,第3层保护可能是足够的,但对于面向公众的服务器,您应该尽可能多地实现安全性,而不会妨碍操作。 所以我认为,是的,如果你关心你的客户和作为服务提供商的声誉,那么你需要保护你的外部系统。 此外,你应该使用专门为这种情况devise的东西。 在不了解您的操作参数的情况下,既然您声明硬件不存在问题,请查看Microsoft的Forefront产品线。 否则,大多数主要networking/安全(McAfee,Cisco,F5,Checkpoint等)供应商都有一些软件解决scheme,具体取决于您的预算。
请记住,RDPGuard完全依靠Windows事件日志来阻止传入的IP地址。 有很多方法可以绕过这个,这意味着应用程序不会拿起攻击者的IP地址,也不会做任何事情。
最好将你的RDP默认端口(3389)改为别的。