Брутфорсят из внешней сети мой сервачок.
Как обезопасить себя, и при этом дать юзерам работать через RDP?

RDP через VPN

(0) Бан адресов на файерволе.

сделай  нестандартный  порт  отличный  от 3389  и  брутфорсеры    пропадут

Связка такая
Интернет - Железка - Сервер.
Порт проброшен на сервер терминалов.
В журнале регистрации событий десятки тысяч неудачных попыток авторизации с десятков разных ip под разными пользователями, включая всевозможные имена российские.

(1) это не пробрутить ?

(2) +1

(3) ну-ну

http://www.rohos.com/support/knowledge-base/access-your-remote-desktop-in-a-secure-way-by-usb-stick-2/

(6) ну  по крайней  мере  их  станет  на  несколько  порядков  меньше   :)

Поднял VPN - но канал в 1 мегабит ничего не позволяет сделать в 1с. Отказался от этой затеи.
Работают через remoteApp. В принципе терпимо.

(8) сканят порты

как нибудь заблокировать можно хост после 10 неудачных попыток авторизации средствами вин?

(8)сейчас бутеры сканят все порты ... смотрят какие там службы ... и если есть известные начинают перебирать пароли ...

так что смена порта не даст абсолютно ничего

http://forum.infostart.ru/forum24/topic48637/

(11) смотри   fail2ban   правда  еслии у  тебе  роутер  по  линуксом

бан IP при подборе логина/пароля

(11)через gpedit блокировка пользователя при неправильном вводе пароля

(13) Ништяк. Пойду почитаю.

(5) смотря какое шифрование использовать.

Но лучше мне кажется вот это решение.
http://itexpertus.ru/windows/tunnel-rdp-ssh.html

(0) Нафиг голову забивать? Покупаете нормальный аппаратный шлюз, поднимаете на нем IPSec или SSL VPN и вообще забываете о том что кто-то что-то там брутфорсит. Мегабитного канала под ипсеком мне вполне хватало на 2-3 пользователей и сетевой принтер, это не так уж мало.

+(20) например Cisco 800 серии -  дешево, сердито, надежно

(21) ну да, как вариант, или мой выбор - ZyWall USG серия. Хотя сейчас есть масса существенно более дешевых решений, микротики те же.

(0) Подними роль "Службы политики сети и доступа", настрой штатный VPN на 2008 - будет работать все.
(9) Ерунду не говори. Терминал терпимо ползает уже на 33600 dialup.

(23) Поднял роль, настроил ВПН. Все хоккей - но вот 1с не ползает. Причем вообще не ползает.

(24) Линки на картинки свойств "Маршрутизация и удаленный доступ" дай

(23) что значит "хоккей" и что значит "не ползает"?
объясните внятно ситуацию - пошел ли RDP в туннеле и как ведут себя на терминале разные приложения, не только 1С, и какого рода ошибки с 1С.

прошу прощения, к (24)

(24)старые ремотапы пересоздай с новыми адресами

(26) Создал ВПН роль на Вин 2008. Создал впн подключение на удаленной машине. Подключился к серверу по впн соединению. Получил ИП. Зашел по сети на сервер удаленный. Связь есть. Тут все хорошо.
Но вот при попытке открыть базу файловую по впн сети - 1с наглухо задумывается.
Открыть РДП в ВПН не пробовал. ЩАс попробую.

(26) Файловую??? Сразу забудь. Только RDP.

+ для (29)

(29) писец...
ты всю базу тащишь себе... Позовите специалиста

(32) Ну вот я и говорю что по впн не сообразил рдп открыть. щас попробую.

(29) Во-первых, для того чтобы открывать файлы, надо чтобы через это VPN соединение разрешались расшаренные ресурсы. В простейшем случае для этого требуется чтобы протокол NetBios работал через такое соединение. По умолчанию чаще всего он отключен по соображениям безопасности. Но даже если его настроишь и добьешься чтобы оно работало, толку от этого никакого - файловая база генерит огромный трафик, на мегабитном соединении все это представляет только академический интерес. Реально работать нельзя.

Все. Пошло. Спасибо всем.

(34) Ну все верно. Щас поднял РДП через ВПН. Все отлично.
Спасибо.

(36) теперь посмотри (1), растянул на 40 постов тему...))

дефолтные политики сервера, бан после пяти неправильных попыток, плюс безопасные пароли принудительно. Этого с головой хватает от тупых сканеров/BF

(38) +100