Intentos RDP de IP desconocidas, ¿Cómo proteger?

Navega tus respuestas
10

Estoy ejecutando Windows Server2008 R2 y veo el siguiente error varias veces con varias direcciones IP en el registro de eventos:

  

La capa de seguridad de Terminal Server detectó un error en el protocolo   Stream y ha desconectado al cliente. IP del cliente xxx.xxx.xxx.xxx

Verifiqué los IP y definitivamente no son de nadie en mi equipo ni de nadie que deba tener acceso. Uno de los IPs estaba incluso en la lista negra.

Supongo que aquí alguien está intentando acceder a mi servidor a través de RDP.

Normalmente configuraría el firewall para que solo acepte RDP desde direcciones IP "permitidas". Sin embargo, el problema al que me enfrento es que no tengo una IP estática con mi ISP y cambia de vez en cuando.

¿Hay alguna forma / solución recomendada para solucionar este problema teniendo en cuenta que no tengo una IP estática en casa?

    
pregunta AlexVPerl 20.07.2016 - 00:02
fuente

6 respuestas

10

No se ha comprobado exactamente la seguridad, pero Llamada de puerto puede permitirle abrir puertos cerrados mediante el envío de un conjunto especial de paquetes al servidor primero.

También puede alquilar un servidor barato con una dirección IP dedicada y configurar una VPN, luego configurar explícitamente el firewall para permitir solo conexiones desde la IP de la VPN.

    
respondido por el Jak Gibb 20.07.2016 - 01:24
fuente
8

La mayoría de los ataques de RDP se están atacando en el puerto 3389 estándar. Cambiar ese puerto a cualquier puerto no estándar como 8123 hará que su servicio de escritorio remoto lo escuche.

Cómo cambiar el -listening-port-for-Remote-Desktop

Una vez que lo cambie, deberá especificar el número de puerto al iniciar la conexión de escritorio remoto. p.ej. Dirección IP: 8123

    
respondido por el Mitesh Gangaramani 20.07.2016 - 00:29
fuente
5

Es posible que desee revisar RDPGuard (Esencialmente fail2ban para rdp) y, por supuesto, hacer todo lo posible para imponer una buena política de contraseña.

    
respondido por el Nick Mckenna 20.07.2016 - 00:06
fuente
5

Me doy cuenta de que esta pregunta ya se ha marcado como contestada, pero Microsoft tiene un servicio incluido en Server 2008 R2 llamado Microsoft TS (o RDP) Gateway

Lo que esto hace es permitirle poner otro servidor (el Terminal Services Gateway) frente a su servidor de terminal real que escucha en TCP 443 en lugar de 3389. Además de ocultar la existencia de su servidor de terminal, el servidor de Puerta de enlace de TS agrega otra capa de autenticación, ya que los usuarios pueden tener tanto las credenciales de la Puerta de enlace de TS como las credenciales de dominio.

    
respondido por el DKNUCKLES 20.07.2016 - 03:26
fuente
1

Probablemente debería considerar el uso de las opciones en los GPO para restringir el RDP a un conjunto específico de IP conocidas y confiables.

    
respondido por el root1657 20.07.2016 - 06:03
fuente
1

Hace unos años escribí un servicio de Windows que supervisa el registro de eventos para esto, y el firewall bloquea las direcciones IP después de un número configurable de intentos fallidos de autentificación a través de RDP. Detalles, enlaces de descarga (incluido el código fuente) aquí:

enlace

    
respondido por el KristoferA 20.07.2016 - 13:44
fuente

Lea otras preguntas en las etiquetas

Revisión de seguridad: "El agente de usuario del encabezado HTTP se ha configurado en (algo)" ¿Bcrypt compara los hashes en el tiempo de "constante de longitud"?