Здравствуйте!
RDP Сервер под перебором паролей, это вещь обычная, но есть одна неприятная особенность. В Просмотре событий в поле Сетевой адрес источника указан адрес роутера.
Обычно в этом поле указан удаленный адрес компьютера, с которого пытаются подключиться.
Почему так происходит? И можно ли с этим что то сделать?

Понятно, что выход настроить белый список на роутере, но бывают ситуации, когда нужно зайти с мобильного интернета, а там адрес постоянно разный.

(0) Для этого придумали VPN

возможно роутер заразили червем. есть такие...

(1) Про него тоже знаю, спасибо за совет.

(1) Да и еще, многие провайдеры блокируют VPN, например Мегафон точно блокирует.

(4) У вас странный Мегафон, мой ничего не блокирует.
А вот домашний провайдер пытался, вынес им мозг и перестали :)

(0) Так скорее всего у вас роутер через DNAT на рдп сервер пробрасывает трафик. Он же подменяет адрес отправителя собой. Так что все нормально.
А так на самом деле лучше развернуть шлюз РДП с самоподписным сертификатом + аутентификацию по клиентским сертификатам. А авторизация на РДП уже будет обычная.
Вот например
https://winitpro.ru/index.php/2022/03/17/nastrojka-shlyuza-remote-desktop-gateway-windows-server/

ви пи эн, имхо

А иначе как? Риторическое восклицание.

fail2ban можно поставить

(9) 1. Куда?
2. И блокировать ip своего роутера?

Intrusion Detection Admin на сервак можно поставить

Настроить нормально роутер. Обратитесь к админам. При переборе паролей создается куча специфического трафика. Всех кто стучится по рдп помещаете в список 1 через 3 минуты удаляете. Если стучится повторно и есть в списке 1 помещаете в список 2 очищаете из него через 5 минут. и так до 3-5 попыток Если чел больше 5 раз подключается и отваливается помещаете его в черный список.
Перебор паролей 5 шт с ИП адреса за сутки обеспечивает нормальный уровень безопасности без всяких ВПН. Если сложность паролей и периодичность их смены нормально настроена.

Всем большое спасибо за советы!
Я использую Cyberarms, но проблема как раз в том, что до компьютера доходит ip роутера

(10) на роутер, https://habr.com/ru/sandbox/100317/

(14) 1. Там в статье "centos". Покажи роутер на ней?
2. Да можно воткнуть fail2ban на умные роутеры с entware или вместо роутера использовать комп
3. В статье успешность подключения RDP не проверяется.
Только попадание в лог.
Достаточно 3 раза за минуту подключиться (успешно) с одного ip и улететь в бан

RdpGuard попробуйте.

(16) он поможет от "до компьютера доходит ip роутера" ?

(14)цент,деб, фря, микротик болгенос разницы особой нет. показан принцип.
как вариант, fail2ban читает логи, направь логи роутера в remote syslogd, и читай оттуда. в винде тоже что-то было насчет ремоут логгинга.

(0) Лучше всего VPN. Если нет, то в свежих версиях RDP вроде как есть такое понятие как шлюз RDP, там подключено шифрование и есть определенные сложности с заломом. Ну есть еще всякие колхозанские вещи вроде смены порта на нестандартный, port-knocking'а и тому подобного.

fail2ban уже хлам, он с ботами не работает, сам можешь на бан попасть, а боты уже давно с одного адреса не работают, может древние какие-нибудь. Смена порта тоже давно не работает. Рабочие варианты сертификат, VPN(суть остается та же), Port knocking - это для любителей поэкспериментировать.

если mikrotik, то вот конкретный рецепт
https://interface31.ru/tech_it/2023/08/nastraivaem-zashhitu-ot-atak-bruteforce-na-routerah-mikrotik.html

Двухфакторную авторизацию для RDP было бы неплохо прикрутить

(21) Конкретный рецепт чего?
Умение гуглить конечно полезно... проблема когда нагуглят совсем иную хрень (никак не относящуюся к RDP) и выкладывают ее как решение ))

(0) а пускать только с определенных ИП адресов?

(24) как вы себе это представляете, если удаленщики сидят с домашних интернетов и особенно через мобильный интернет?

(25) Учитывая что мобильный инет там куча клиентов через один общий шлюз (одинаковый ip) выходят
То блокировка одного этого ip и многие не могут зайти

Так что остается VPN или двухфакторная авторизация
Других вариантов просто нет

И это хорошо что нет вариантов кроме VPN фактически
Не смогут запретить VPN, хотя и очень сильно хотят

(25) ну вот у удаленщиков у нас проблем нет. у всех выделенный ИП. А нефиг удаленщикам сидеть с мобильных инетов.
А любой провайдер за копейки постоянный даст

(28) За копейки?
Смотрел сколько выделенный белый (фиксированный) ip стоит у мобильных опсосов?

(29) ростелеком 150р мес плачу.

(29) и сколько простите.

(30) Мобильный ростелеком? Нюню...

билайн смотрю 230 р мес. это типа прям непосильные деньги на 1 работника?

(32) нет фиксированный

(31) (33) У разных операторов по разному
Да еще зависит от региона и тарифного плана
Иногда просто такую услугу не предоставляют

(35) Я думаю, что вопрос можно всегда решить. А работать по рдп с мобильного инета - за это надо увольнять сразу. Это не работа.
Если человек работает из дома, у него долны быть все условия для работы на ресурсах компании.

ну или vpn корп поднимать керио, и им подобные.

(36) Угу арендовать свой VPS (с белым ip) и поднимать там свой VPN да?

У мегафона северо-запад на мобильной связи для физиков просто нет услуги статический ip

(36) >Если человек работает из дома, у него долны быть все условия для работы на ресурсах компании.

У меня основной инет Ростелеком и Мегафон/Билайн как резервные
Ростелеком иногда не пашет и приходится через мобильный работать

(38) фирма в аренду возьмет степлер?

(40) Нормальная фирма будет использовать VPN
А не тупой fail2ban c RDP голым задом в инет

Сакива =о0ие орку арпей паяии ееию

"Как защищать открытый RDP-сервер от брутфорса?"
Вопрос содержит в себе ответ.

Если вы этот вопрос зададите уборщице Глаше, она вероятнее всего предположит,
что для этого его нужно закрыть.

(43) ЧСХ будет в известной степени права!

(23) поскольку перебор учеток/паролей идет непосредственно с ip роутера, логично предположить, что именно его и хакнули, разве нет?

(41) да ты что? ))

уже несколько лет отлично справляется IPBan

народ как всегда начинает ванговать ))
автор непонятно какие "события" смотрит, не говорит как криво настроил роутер, а тут уже накидали советов))
еще чуть-чуть и пикабу-2 будет

(45) его не хакнули, просто такая архитектура сети, что конечное устройство видит траффик от роутера.

(45) Эмм.
В случае проброса (роутером) порта за NAT, сервер внутри локалки не знает наружный ip клиента.

(47) Каким местом поможет IPBan ?
Ехидно: Заблочит ip роутера?

(50)+ Предлагать же выставить интерфейс (сетевуху) сервера напрямую в инет мимо роутера - это такое себе решение
Там по всем портам еще быстрей ломанут...

(47) +1, вопросов больше, чем ответов ...

Прикольно.
Вайтишники и мамкины одмины не видят проблемы ))

Хотя проблема серьезная и обеспечить безопасный доступ к RDP, откуда угодно без закрытия VPN-ом на практике неимоверно сложно.
Уровень знаний сисадминов требуется и инфраструктуру хорошо так дорабатывать.

И один фиг могут ломануть, даже если установить требования к паролям учеток и регулярную их смену.

RDP без VPN это самоубийство, WG поднять и не париться.
У знакомого админа 3 раза за прошлый год шифровальщик через RDP подкидывали, но некоторые не учатся, а пароли на RDP в стиле "йцукен" это дерьмовая защита...

(53)+ Стандартный комплекс мер:
1. Нестандартный порт RDP из высоких (их реже сканят)
2. Отключить стандартного Администратор/Admin, не говоря уже о Гость
3. Сложные имена учеток
4. Сложные пароли и регулярная смена, кто не поменял блочатся. Отдельный сервис смены пароля через веб, с обязательным вводом старого.
5. Блокировка брутфорса - самое проблемное, тут надо чтобы сервис защиты имел доступ и к ip клиента и логину, блочился именно логин (при неправильных попытках входа) а не просто ip
6. Регулярные обновления безопасности RDP
и т.д.

(55) Это слишком сложно, у нас "лапки".

(54) От шифровальщиков и VPN не спасет
Если юзер сохранит и запустит вложение (троян) из почты на RDP сервере.
Или словит на свой комп трояна, который все логины/пароли и от VPN и RDP/AD сольет.

(57) Если смотреть так, то да. Я в (54) попался, полез помогать и шифровальщик залез по RDP на мои расшаренные диски, хм, теперь только только ramdisk расшариваваю.
Но WG конфиги не так просто слить, они защищены, хотя хотелось бы еще и ввод пароля для надежности, к сожалению это не предусмотрено.

(49) ты такой же как автор походу..
всё зависит от роутера
у меня тоже за НАТом все сервера и отлично видят внешние адреса, и это обычный PREROUTING...
(51) не пойму зачем умничать, если сам "не очень" ?

(58) "WG" - was ist das?

(60) WG = WireGuard, очень нравится, очень простой и работает шустро (РПН ну так, иногда тестирует блокировки, но обычно работает)...

(59) >у меня тоже за НАТом все сервера и отлично видят внешние адреса, и это обычный PREROUTING...

а теперь настрой это когда не один канал в инет на роутере
а несколько с резервированием или балансировкой

(62) да успокойся ты, всё уже настроено и работает))

главная проблема тут не впны, а пара "логин-пароль" с ними и надо работать.

у автора наверняка полторы колеки по рдп ходят, раздать им листочки со сложным логин-пароль это в 98% покроет взлом

(36) > А работать по рдп с мобильного инета - за это надо увольнять сразу. Это не работа.

На дворе 2024 год, есичо. Мобильный инет вполне везет 15-20 МБит при наличии базы неподалеку. А может, и больше. Этого, по-вашему, мало для RDP? Я довольно-таки часто захожу со своего смартфона андроид-клиентом на RDP, если что-то нужно сделать срочно и небольшое. Это исключительно удобно. Естественно, через VPN, который у меня там тоже настроен.

(37) Керио - это чет такое из начала нулевых, когда еще не было доступных железяк типа "все в одном" а-ля кинетик или микротик хотя бы и люди громоздили все эти прокся, файрволлы и прочее на компах? Да, припоминаю, было такое когда-то давно. Но сейчас, честно сказать, не вполне понятно, кому это может быть надо. Тем более что софтина иностранная и легально ее не купить скорее всего.

(62) дальше пойдет спич как это ты сделал без AS ?

(0) Я не админ, не сильно разбираюсь в этом, но пришлось лет шесть назад решать проблему постоянного подбора паролей по RDP к Windows Server 2012, смена порта помогла на один день, блокировку по ip не получалось сделать, так как ip входящих был неизвестен. Помогла какая-то настройка, по-моему NTLMv2, в политике безопасности, после этого в аудите отказов почти всегда 0.

(68) типа включил протокол аутентификации который большая часть (тогда) брутфорсеров не умеет
сейчас это не сильно поможет

(29) у МГТС для домашнего интернета через их GPON - белый Ip = 150 в месяц.

(70) проводной не проблема
проблема с мобильным

(0)Можно нестандартный порт ставить, но сканером и его найдут конечно.

советы 1-4 из (55) плюс RDPGuard в принципе прикрывают сервер на 99%

(0) RDP Defender , IPBan

Проблема не в подборе пароля,а в том,что пароли простые.
Для vpn выдаётся сертификат,который исключает быстрый подбор.
Кстати,авторизацию на rdp тоже можно по сертификату сделать.
Но,vpn проще и надёжнее.

Что вы в белые ип адреса уперлись, баньте все неизвестные мак адреса. Составьте перечень девайсов которым разрешено работать. Только оборудование которое это умеет делать стоить будет больше чем пару часов работы админа который настроит ВПН. И там тоже потребуется специалист.

(76) Ты сейчас такую чушь спорол
Глубочайшее непонимание сетевых технологий

Не админ, но дома VPN туннель на Kineetic поднял. Оочень удобно, до этого тоже брутфорсами залюбливали

(73)  RDPGuard стоит как средний Зюксель Кинетик, проще Кинетик взять и сделать ВПН

(79) Зависит от количества клиентов
Кинетик даже самый мощный остается SOHO - домашнее применение или мелко/среднеофисное
Думаю клиентов так 50 потянет, больше уже не факт

(80) Больше 50 клиентов и с каким-то там RDPGuard, т.е. полуголой Ж в интернет ...

Я полагаю с такими объемами все-таки нормальный ВПН организуют

(76)да любой домашний роутер умеет делать блокировку по mac адресу.

(80) Меньше, значительно меньше, https://keenetic.ru/ru/keenetic-runner-4g с трудом одного меня выдерживает (резервное подключение), аппаратное ускорение в WG ведь не используется. Он, конечно, совсем слабенький, но и более крутые не так далеко от него ушли. Проброс порта до сервера (обычная работа) и тогда проблем уже нет. Ну и все IP видны, можно обскриптовать при необходимости.

(82) Это в пределах локального сегмента. Дальше твоего домашнего роутера мак адреса сети не идут.
Провайдер видит мак адреса роутеров подключенных пользователей, но на следующий уровень идет уже мак адрес провайдера. А тут тебе придется или dhcp релей делать или Proxy ARP чтобы мак адрес конечного сетевого устройства узнавать. Так что как минимум нужно будет специальные прошивки на роутер ставить и колдовать.

(84) или ломать все роутеры по пути
чтобы mac внутрь tcp пакетов засовывали
и udp тоже а то вдруг новый протокол RDP-UDP

(82) Еще один безграмотный как (76)

(83) как оценку делаешь? замер скорости внутрь локалки через VPN? Можно же другой тип VPN использовать, с аппаратной поддержкой IKEv2

(83) WG весьма тяжелый протокол
Возможно у тебя роутер другим сильно нагружен или что то с настройками
Например "Аппаратный сетевой ускоритель" отключен или "Файл подкачки в сжатом RAM-диске" включен
Или в OPKG что то крутится

У меня Viva (KN-1910) и Keenetic Hero 4G+ (KN-2311)
Любой из них до 10 клиентов WG легко тянут, больше не проверял
Если использовать вместо тяжелых WG и OpenVPN банальный L2TP/IPsec - то до 50 клиентов легко

(88)+ https://help.keenetic.com/hc/ru/articles/360000684919-VPN-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-L2TP-IPsec

(88) в этом прав, легко 20 держит даже не напрягается (VIVA)

Но и у (83) модель конечно "кака" явно предназначена для "своих целей"

(91) Там канал всего 5 мегабит, этого мусорного железа на это хватает с запасом.
Ну а поддержки WG, когда его покупали, а это было давно, даже в планах не было.
(89) Это да, аппаратное ускорение должно работать. Настраивать замороченнее. Но не помню, работает ли на этой штуке откат настроек при случае "ой всй", одно неловкое движение и...
В любом случае, это резервный канал, ну там пингануть что-то, wol-пакет кинуть, а штатным обслуживанием WG занимается сервер, а он значительно мощьнее любого кинектика.