Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» удаленный рабочий стол через интернет безопасность

Автор: kolgosp
Дата сообщения: 14.08.2013 16:02
привет.. Направте в правильное русло, как защитить сервер от взлома..(подробное описание если можно.. )
есть сервер widows 2003, работает лицензия терминалов, пользователи подключались по локалке. с недавних пор нужно перенести сервер.. настроил удаленный рабочий стол через интернет: взял белую ІР, открыл порт 3389, сделал переброс портов на роутере, все заработало.. но увыдил что кто-то влез в систему.. как надежно защитить сервер, или посоветуйте другой вариант работы...

спасибо...!!!
Автор: igor_me
Дата сообщения: 14.08.2013 21:07
Вопрос скорее для админского раздела, но скажу тут, так как был момент, я этот вопрос конкретно разбирал.

Цитата:
но увыдил что кто-то влез в систему

Т. е. кто-то уже подключался? Т. е. угадал пароль? Или был только коннект к серверу?
Все пароли пользователей должны быть достаточно сложными, "неугадываемыми" (ну это прописная истина )
В любом случае, для начала я бы сделал две вещи. В "настройке служб терминалов " (где-то в администрировании сервера лежит) я бы поставил шифрование "самое стойкое" (как-то так, не помню, как точно пункт называется.)
И, раз у вас как раз есть роутер, я бы сделал для внешних подключений не стандартный 3389 порт, а другой, скажем 25343. На роутере настроить перенаправление с 25343 на порт сервера 3389.
На первое время это заметно снизит уязвимость.
Ну а потом надо бы вам поднимать VPN (лучше L2TP, с выдачей сертификатов интернет-пользователям. Ну или хоть PPTP, на худой конец...)
Автор: kolgosp
Дата сообщения: 15.08.2013 08:25

Цитата:
Т. е. кто-то уже подключался? Т. е. угадал пароль? Или был только коннект к серверу?


угадал пароль... зашел, поменял пароль админа.. хорошо что ничего не нагадил...
Автор: Merlin_Cori
Дата сообщения: 15.08.2013 09:03
kolgosp

Цитата:
угадал пароль...

123456?

настраивать VPN
http://forum.ru-board.com/topic.cgi?forum=8&topic=0152#1
Автор: kolgosp
Дата сообщения: 16.08.2013 09:15

Цитата:
настраивать VPN
http://forum.ru-board.com/topic.cgi?forum=8&topic=0152#1


скажите пожалуйста, насколько я понял, если я хочу перенести сервер за приделы офиса, и работать через интернет, нужно создать VPN сеть (настройка на сервере) и потом настроить VPN на клиентах.. а как будет организовыватся работа ?? 1С например, или работа с документами..? клиенты будут иметь только доступ к папкам на сервере и работать с ними на своих ПК, или подключатся к серверу через удаленный стол..??
Автор: Merlin_Cori
Дата сообщения: 16.08.2013 09:32

Цитата:
или подключатся к серверу через удаленный стол..??

именно так.... и печатать на своих принтерах
Автор: kolgosp
Дата сообщения: 16.08.2013 09:40
тогда в двух словах.. создаю VPN-сервер (на сервере), включаю "Службу удаленного рабочего стола".. а клиенты подключаются к VPN, потом работают на сервере через удаленный стол..??
Автор: Merlin_Cori
Дата сообщения: 16.08.2013 11:36
но только 1 момент, если не поднят терминальный сервер, то только 2 соединения к серверу
Автор: igor_me
Дата сообщения: 16.08.2013 20:08

Цитата:
не поднят терминальный сервер

Автор вроде уже сказал, что
Цитата:
настроил удаленный рабочий стол через интернет

kolgosp

Цитата:
угадал пароль... зашел, поменял пароль админа

Чума, во у вас "хакеры" зверствуют
Автор: Merlin_Cori
Дата сообщения: 16.08.2013 20:37
igor_me
удаленный рабочий стол не означает поднятого терминального сервера
Автор: Helmsman
Дата сообщения: 16.08.2013 21:00
"но увыдил что кто-то влез в систему"
Давайте по порядку. Как вы это увидели?
Когда увидели? Что вас побудило "полезть и посмотреть, не влез ли кто?". Только не говорите, что вы правильный админ и каждое утро просматриваете логи за чашкой утреннего кофе.
Автор: kolgosp
Дата сообщения: 21.08.2013 08:36

Цитата:
"но увыдил что кто-то влез в систему"
Давайте по порядку. Как вы это увидели?
Когда увидели? Что вас побудило "полезть и посмотреть, не влез ли кто?". Только не говорите, что вы правильный админ и каждое утро просматриваете логи за чашкой утреннего кофе.


нет, просто не смог зайти на сервер под админом.. скинул пароль, тогда увидел что кто-то создал нового админа, плюс программки устанавливал.. итд...

Добавлено:
ребята еще один момент, если я настрою VPN. то пользователи будут работать на своих ПК, только доступ к базе будет через VPN..?? (1с например)
Автор: Helmsman
Дата сообщения: 22.08.2013 18:21
ну в случае рабочего стола через интернет безопасность обычно получается так именно
Автор: botva0
Дата сообщения: 22.08.2013 21:45
на сервере ничего трогать не надо, впн настраивать только на роутере. если впн сервер и сервер терминалов не разнесены физически, то смысла во всем этом никакого.
нужен роутер, который поддерживает впн-сервер, например из недорогих - асус rt-n12 с черной прошивкой (с серии d1 они уже продаются с черными прошивками, b1 и c1 придется самому прошить, но этих серий уже и в продаже почти нет).
если совсем уж хочется бабла зажмотить, то можно любой другой, который прошивается dd-wrt.
какие роутеры поддерживаются смотреть можно здесь инструкции по прошивке там же найдешь.
схема простая - на роутере прописать список клиентов, на сервере ничего не трогаешь.
клиенты создают у себя на удаленном комп впн-подключение, коннектятся к роутеру и оказываются в твоей локальной сети. дальше уже все, как в локальной сети.
если есть вопросы по деталям - спрашивай.
Автор: kolgosp
Дата сообщения: 27.08.2013 08:42

Цитата:
на сервере ничего трогать не надо, впн настраивать только на роутере. если впн сервер и сервер терминалов не разнесены физически, то смысла во всем этом никакого.
нужен роутер, который поддерживает впн-сервер, например из недорогих - асус rt-n12 с черной прошивкой (с серии d1 они уже продаются с черными прошивками, b1 и c1 придется самому прошить, но этих серий уже и в продаже почти нет).
если совсем уж хочется бабла зажмотить, то можно любой другой, который прошивается dd-wrt.
какие роутеры поддерживаются смотреть можно здесь инструкции по прошивке там же найдешь.
схема простая - на роутере прописать список клиентов, на сервере ничего не трогаешь.
клиенты создают у себя на удаленном комп впн-подключение, коннектятся к роутеру и оказываются в твоей локальной сети. дальше уже все, как в локальной сети.
если есть вопросы по деталям - спрашивай.


спасибо..
Автор: kolgosp
Дата сообщения: 28.08.2013 08:22

Цитата:
впн сервер и сервер терминалов не разнесены физически


что значит ?
Автор: Merlin_Cori
Дата сообщения: 28.08.2013 08:59

Цитата:
что значит ?

именно то, что сказано. Сервис VPN поднят на одной железяке, а терминальный сервер на другой
Автор: kolgosp
Дата сообщения: 29.08.2013 10:54

Цитата:
именно то, что сказано. Сервис VPN поднят на одной железяке, а терминальный сервер на друго


понятно

Добавлено:

Цитата:
если есть вопросы по деталям - спрашивай.


а можно в личку.. скайп или по другому.. что за чем делать.. буду очень признателен..

задача перенести сервак, и что-бы пользователи работали по удаленном рабочем через интернет, с максимальной защитой..



Добавлено:

Цитата:
схема простая - на роутере прописать список клиентов, на сервере ничего не трогаешь.


на роутере нужно создавать ВПН сервер..? или просто прописать список клиентов ?? немогу понять.. помогите...
Автор: botva0
Дата сообщения: 29.08.2013 17:43
можно в личку, без проблем.
сначала напиши, что у тебя за роутер, чтобы понимать можно ли его перешить вообще.
потом уже будем решать проблемы по мере их поступления.
если роутер перешивается в дд-врт, то дам ссылки на инструкции по прошивке и включению впн-сервера на прошитом роутере
Автор: kolgosp
Дата сообщения: 30.08.2013 13:30

Цитата:
можно в личку, без проблем.
сначала напиши, что у тебя за роутер, чтобы понимать можно ли его перешить вообще.
потом уже будем решать проблемы по мере их поступления.
если роутер перешивается в дд-врт, то дам ссылки на инструкции по прошивке и включению впн-сервера на прошитом роутере


я взял ASUS RT-N10 LX.. но могу поменять.. какой посоветуеш ?
Автор: botva0
Дата сообщения: 31.08.2013 09:48
любой, куда можно закатать dd-wrt. например n10 без lx, хотя n12 предпочтительней, т.к. он поддерживает шифрование. только без букв разных, типа lx или le.
посмотри на сайте dd-wrt, там можно проверить поддержку того или иного роутера.
Автор: kolgosp
Дата сообщения: 02.09.2013 08:50

Цитата:
любой, куда можно закатать dd-wrt. например n10 без lx, хотя n12 предпочтительней, т.к. он поддерживает шифрование. только без букв разных, типа lx или le.
посмотри на сайте dd-wrt, там можно проверить поддержку того или иного роутера.


хорошо.. возьму отпишусь..
Автор: kolgosp
Дата сообщения: 03.09.2013 09:45
привет.. взял TP-LINK TP-WR741ND ver. 4.21

как его прошить ??

Добавлено:
http://dd-wrt.com/wiki/index.php/%D0%9F%D1%80%D0%BE%D1%88%D0%B8%D0%B2%D0%BA%D0%B0_TL-WR1043ND_%D1%81_%D0%BF%D0%BE%D0%B4%D1%80%D0%BE%D0%B1%D0%BD%D1%8B%D0%BC%D0%B8_%D1%81%D0%BA%D1%80%D0%B8%D0%BD-%D1%88%D0%BE%D1%82%D0%B0%D0%BC%D0%B8

так прошить ?
Автор: kolgosp
Дата сообщения: 04.09.2013 10:26
здрасте. я прошил роутер на DD-WRT..
по инструкции http://onix.me/?p=500 настроил VPN-сервер..
вопрос: у меня на клиентской части (офис) стоит тоже роутер-2, так VPN-подключение клиента надо на каждом ПК (пользователей создавать), или на роутере-2 ???
Автор: botva0
Дата сообщения: 04.09.2013 13:25
можно на роутере 2, это будет идеальный вариант, сразу можно будет связать 2 офиса и не нужно плодить дополнительные подключения. но я так никогда не делал, ибо мне нужно было подключать удаленные компьютеры поодиночке.
если будете подключать отдельно, неплохо бы с ип-шниками разобраться, т.к. может понадобится по этим ип стучаться до удаленного принтера например.
т.е. клиентов на сервере прописывать вот по такой схеме.
login * password 192.168.1.102 (любой адрес из твоей подсети, чтобы не конфликтовал с dhcp)
тогда каждый клиент получит свой ип и можно будет с сервера печатать на локальных принтерах или расшарить в сеть локальные ресурсы.
если ип будет выделяться динамически, то придется перенастраивать их каждый раз.
Автор: kolgosp
Дата сообщения: 04.09.2013 14:48
я настроил по ссылке, но увы не работает.. какие адреса мне вводить, или что-то напутал, помогите !!!
Автор: kolgosp
Дата сообщения: 05.09.2013 09:18
я прошил роутер2 исчез интернет, как его настроить.. wan пишет отключен, ставил динамический, интернет не появился.. что делать ??
Автор: botva0
Дата сообщения: 05.09.2013 13:30
хотя бы скрины покажите, я же не экстрасенс.
а по поводу настройки роутера, нужно знать тип подключения и прочее, это вам к провайдеру.
Автор: kolgosp
Дата сообщения: 10.09.2013 11:10
скрин сервера http://s020.radikal.ru/i712/1309/c9/b2f396746e90.jpg

скрин клиента http://s57.radikal.ru/i156/1309/33/383e29132b5f.jpg
Автор: botva0
Дата сообщения: 11.09.2013 23:15
по поводу настройки впн-сервера
ип-адрес сервера должен совпадать с лан-ип-адресом ройтера, скорее всего у вас 192.168.1.1
а у вас прописаны все 0
ип-адреса клиентов не должны пересекаться с адресами, которые раздаются по днсп, да и не нужно вам столько адресов выделять, у все же всего два клиента, вот и зарезервируйте для них два адреса, а еще лучше пропишите их еще и там, где имена клиентов, как я писал выше
днс и винс оставьте пустыми

после этого попробуйте создать на виндовс станции впн-подключение и проверьте подключение, не пытайтесь сразу соединить два роутера, убедитесь сначала , что впн-сервер поднялся.

Страницы: 12

Предыдущая тема: Stop: 0x0000007E


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.