Interdisez, ralentissez ou arrêtez les tentatives de connexion massives à RDP

23

La session à distance à partir du nom du client a dépassé le nombre maximal de tentatives de connexion échouées autorisé. La session s'est terminée de force.

L'un des serveurs est touché par une attaque par dictionnaire. J'ai toute la sécurité standard en place (renommé Administrateur, etc.) mais je veux savoir s'il existe un moyen de limiter ou d'interdire l'attaque.

Modifier : le serveur est distant uniquement. J'ai besoin de RDP pour y accéder.

windows-server-2008-r2 Eduardo Molteni
la source
Question protégée car elle est assez populaire et rassemble quelques réponses de faible qualité.
Rob Moir

Réponses:

29

Bloquer RDP au niveau du pare-feu. Je ne sais pas pourquoi tant de gens le permettent. Si vous avez besoin de RDP sur votre serveur, configurez un VPN.

Jason Berg
la source
3
@EduardoMolteni: Comme Jason le dit, bloquez RDP au niveau du pare-feu et utilisez un VPN.
GregD
5
@Eduardo - La bonne chose à faire est d'utiliser un VPN. Cela vous donnerait toujours l'accès dont vous avez besoin. Si vous insistez pour autoriser l'accès RDP à votre serveur, vous le faites à vos risques et périls. Il n'existe aucun outil ou méthode populaire pour limiter ces attaques. Les bons administrateurs système bloquent simplement le trafic. Si vous souhaitez essayer , vous pouvez peut-être modifier le programme d'Evan ici serverfault.com/questions/43360/… pour rechercher des connexions RDP. Je ne sais pas si c'est même une option, mais c'est probablement votre chance la plus proche.
Jason Berg
2
@EduardoMolteni: Vous avez eu la mauvaise impression si vous pensez que nous ne sommes "pas des gens sympas" ou "fous" et si l'anglais n'est pas votre première langue, ce ne sont peut-être pas les premiers jugements que vous devriez prendre? Je me demandais simplement pourquoi plusieurs personnes avaient mentionné la mise en place d'un VPN et vous n'arrêtiez pas de dire: "J'ai besoin de RDP pour y accéder". Vous pouvez toujours RDP via une connexion VPN ...
GregD
7
Je ne sais pas pourquoi vous êtes si fortement contre l'autorisation de RDP. Le cryptage n'est pas si mal, le même que https. En configurant un VPN, tout ce que vous faites est de changer l'objet dont un attaquant aurait besoin pour utiliser la force brute. Si le VPN utilise une authentification par mot de passe simple intégrée dans le même système d'authentification que l'hôte RDP, alors vous n'avez vraiment pas beaucoup changé.
Zoredache
7
Je suis étonné que les gens envelopperaient un service d'accès à distance dans un autre quand il y a si peu d'avantages. Le VPN peut être forcé brutalement comme toute autre chose. Verrouiller des comptes sur la base de tentatives RDP est tout simplement stupide. Plutôt configurer ainsi 150 mots de passe incorrects d'une IP donnée dans les 24 heures bloquent cette IP. Si c'est un énorme problème, n'utilisez pas de mots de passe.
Alex Holst
11

Modifiez le port et pratiquement toutes les attaques s'arrêteront.

Les attaques ne sont généralement pas dirigées vers vous spécifiquement, mais vers toutes les adresses IP. Ils n'essaieront donc pas les ports non par défaut car cela n'en vaut tout simplement pas la peine; essayer la prochaine adresse IP a des ordres de grandeur supérieurs à ceux du prochain port.

Thomas Bonini
la source
19
Lorsque vous êtes chassé par un lion, vous ne devez dépasser la gazelle la plus lente pour survivre.
IslandCow
Les instructions sur la façon de le faire peuvent être trouvées sur support.microsoft.com/kb/306759
mailq
7

Théoriquement, vous accomplirez cela en utilisant un outil appelé système de prévention des intrusions (IPS). Idéalement, cet appareil serait un appareil en dehors de votre boîte Windows. Construire une règle dans un pare-feu iptables Linux pour bloquer le trafic par force brute est assez facile.

Dans une question distincte, Evan mentionne qu'il a développé un script qui gérerait le pare-feu Windows en fonction des échecs d'OpenSSH. Vous pourrez peut-être adapter son code pour l'appliquer ici, si vous devez le faire sur la boîte Windows elle-même.

Zoredache
la source
4

La seule chose à laquelle je peux penser pourquoi votre serveur est frappé par une énorme quantité de tentatives RDP, c'est que vous pouvez y accéder à partir d'Internet. Désactivez cet accès depuis Internet et tout ira bien. Utilisez un VPN comme tout le monde si vous avez besoin de RDP vers le serveur de l'extérieur. S'il s'agit de tentatives internes, alors vous avez un problème plus important qui implique probablement que quelqu'un soit licencié pour avoir tenté d'attaquer un serveur interne par dictionnaire ...

août
la source
ou il y a des logiciels malveillants sur le réseau.
gravyface
Je dois pouvoir RDP à partir d'Internet. Je veux juste limiter afin que vous ne puissiez pas essayer de vous connecter plusieurs fois par seconde
Eduardo Molteni
1
@Eduardo - Cela a déjà été dit deux fois. Mettez quelque chose entre Internet et ce serveur. Qu'il s'agisse d'un VPN, d'un tunnel SSH, d'une passerelle TS, etc.
Aaron Copley
2
@EduardoMolteni: Avec VPN, vous pouvez toujours RDP à partir d'Internet. Pourquoi continuez-vous de masquer la partie VPN?
GregD
@Aaron: Ne te fâche pas. J'apprends juste les options ici.
Eduardo Molteni
4

Si vous connaissez les adresses IP des PC qui ont besoin de RDP vers ce serveur via Internet, configurez votre routeur / pare-feu pour autoriser uniquement le trafic RDP à partir de ces IP ou plages IP. Si les PC entrants sont sur DHCP depuis leur FAI, placer la ou les plages IP du FAI dans votre pare-feu bloquerait au moins la plupart des tentatives de connexion aléatoires.

KJ-SRS
la source
2

Vous pouvez remplacer le port par un port RDP non défini par défaut. Cela vous permettra toujours de vous connecter, mais il sera légèrement plus difficile pour quelqu'un de trouver RDP sur votre machine.

http://support.microsoft.com/kb/306759

Darryl Braaten
la source
J'ai la configuration RDP sur mon réseau domestique ... mais je l'ai changé au niveau du routeur vers un port non standard. allait suggérer au moins de changer les ports, car je pense que cela contrecarrerait tous les hacks, sauf les plus dévoués.
WernerCD
1

Nous utilisons démêler pour protéger notre réseau et connecter quelques sites distants. Installation simple sur PC, installation et configuration rapides, plein d'options de pare-feu, il est livré avec un serveur OpenVPN.

Démêler le routeur

entrez la description de l'image ici

integratorIT
la source