[Anton04]

hozman,

Если RDP у Вас опубликован во вне, то вполне вероятно происходит перебор паролей каким либо злоумышленников из "дальних" краёв.

[hozman]

Цитата Anton04:

Если RDP у Вас опубликован во вне, то вполне вероятно происходит перебор паролей каким либо злоумышленников из "дальних" краёв. »

Я тоже об этом подумал, как и написалвыше. Но как узнать наверняка перебор это или ещё что-либо или из вне это прилетает или что-то внутреннее?
На самом деле, у меня все сотрудники работают внутри отдельной организации т.е. внутри каждого подразделения они работают внутри. Хотя, я могу заходить из вне на сервер иногда. Хотя, кроме меня никто не имеет прав захоить и, кроме того, никто не в курсе, что такое имеет место быть. Я захожу иногда лишь для того, что бы сделать какие-то настройки. Но все сотрудники раюотают внутри.. посредством внутренней локальной сети.

[Anton04]

Цитата hozman:

Но как узнать наверняка перебор это или ещё что-либо или из вне это прилетает или что-то внутреннее? »

См. журнал Windows, закладка безопасность и ищите события.

А проверить очень просто, у Вас опубликован порт RDP, не стоит и не настроен "Шлюз удалённых рабочих столов" следовательно Вас ломают и перебирают пароли.

Возможно Вам поможет ещё и Просмотр и анализ логов RDP подключений в Windows.

[hozman]

Цитата Anton04:

См. журнал Windows, закладка безопасность и ищите события. »

Пожалуй, этим и займусь.

Цитата Anton04:

А проверить очень просто, у Вас опубликован порт RDP, не стоит и не настроен "Шлюз удалённых рабочих столов" следовательно Вас ломают и перебирают пароли. »

Интересно. Раньше я не подымал "Шлюз удалённых рабочих столов" и не было головняков. Интересно, что у меня подключена услуга белый IP-адрес у провайдера. Может, лучше эту услугу ликвидировать? По сути, после рестарта модема IP-адрес будет меняться и никто не будет знать, какой очередной айпишник присвоен модему. Это уже упростит ситуацию. С другой стороны, белый адрес удобен. Я вот в раздумьях..
Временно, сегодня я настроил правила для Kaspersky Small Office Security. Включил "Защиту от сетевых атак", а в "Сетевом экране" разрешил вход лишь для адресов с локальной сети. Интересно, от обилия попыток входа не будет ли стек переполняться..
А "Шлюз удалённых рабочих столов" обязательно подыму. Уже начинаю читать об этом.

[Anton04]

Цитата hozman:

Может, лучше эту услугу ликвидировать? »

Зачем!? У Вас что вставлен usb модем сразу в RDP сервер? Если да то зря... лучше всё делать через роутер.

Цитата hozman:

С другой стороны, белый адрес удобен. Я вот в раздумьях.. »

Ставьте роутер (в идеале любой микротик) и настраивайте VPN (прямо на роутере) и будет безопасно.

Цитата hozman:

Интересно, от обилия попыток входа не будет ли стек переполняться.. »

Это уже к касперскому вопрос, как у них реализован данный механизм не знаю.

[hozman]

Цитата Anton04:

Зачем!? У Вас что вставлен usb модем сразу в RDP сервер? Если да то зря... лучше всё делать через роутер. »

Я забегался эти дни..) Не совсем понятно написано. У меня этот модем подключён непосредственно в одну из сетевых карт сервера. Смысл мне подключать модем к роутеру а, к этому роутеру уже подключать сервер? По сути, всё-равно головняк. Даже, если фильтровать весь траффик, долбёжка на мой белый IP-адрес ничего хорошего не принесёт. У меня десятки обращений в секунду с модема.. Я уже написал письмо провайдеру, чтобы этот "проклятый " IP-адрес у меня забрали. Буду подключаться к серверу, когда нужно посредством динамического DNS.

Цитата Anton04:

Ставьте роутер (в идеале любой микротик) и настраивайте VPN (прямо на роутере) и будет безопасно. »

Сетевой провод с модема будет попадать в роутер, а после него уже под впн будет трафик двигаться к серверу? Интересно, в Mirkotik веб. интерфейс какой-нить присутствует или нужно всё прописывать вручную? У меня на Zyxel и D-link веб. интерфейс имеется и это удобно, на самом деле..

Цитата Anton04:

Это уже к касперскому вопрос, как у них реализован данный механизм не знаю. »

Это понятно. Но как только я отключил модем с белым IP-адресом, уведомления потоковые с атаками пачками в секунду прекратились. Сейчас я подключился временно к другому модему.

[Anton04]

Цитата hozman:

У меня этот модем подключён непосредственно в одну из сетевых карт сервера. Смысл мне подключать модем к роутеру а, к этому роутеру уже подключать сервер? »

Смысл есть, роутингом у Вас бы занималось спец. устройство, которое и гибче настраивать и предназначено именно для этого, да и безопасность будет повышена.

Цитата hozman:

Даже, если фильтровать весь траффик, долбёжка на мой белый IP-адрес ничего хорошего не принесёт. »

Ну почему же... Очень многие так делают. Определённая защита от BruteForcers`а в микротике есть давно.

Цитата hozman:

Сетевой провод с модема будет попадать в роутер, а после него уже под впн будет трафик двигаться к серверу? »

Стоп, ещё раз что у Вас за модем? USB или нет?

Цитата hozman:

Интересно, в Mirkotik веб. интерфейс какой-нить присутствует или нужно всё прописывать вручную? »

Там есть всё и веб и спец утилита winbox и ssh и telnet. Буквально всё что душе угодно. Рекомендую использовать winbox или ssh.

Цитата hozman:

У меня на Zyxel и D-link веб. интерфейс имеется и это удобно, на самом деле.. »

Не спорю, но если у Вас роутеры домашней серии, то микротику они в подмётки не годятся (по гибкости настроек и стабильности работы).

[hozman]

Цитата Anton04:

Стоп, ещё раз что у Вас за модем? USB или нет? »

Нет, конечно. Там Huawei HG8245H5
Он не под USB подключается к серверу, а по RJ-45.

Цитата Anton04:

Там есть всё и веб и спец утилита winbox и ssh и telnet. Буквально всё что душе угодно. Рекомендую использовать winbox или ssh. »

Интересно..

Цитата Anton04:

Не спорю, но если у Вас роутеры домашней серии, то микротику они в подмётки не годятся (по гибкости настроек и стабильности работы). »

Я бы не сказал, что домашней.. У меня всё оборудование такого уровня как zyxel GS1910-24 GigaBit Ethernet Switch
Настроек километр. Кстати, Микротики дешевле, чем оборудование, которое у меня используется. Хотя, как я понимаю, возможности Микротика более обширны, верно?
Но цена ниже у Микротика. Это так и должно быть?

[Anton04]

Цитата hozman:

Нет, конечно. Там Huawei HG8245H5 Он не под USB подключается к серверу, а по RJ-45. »

Понятно, значит комбайн.

Цитата hozman:

Я бы не сказал, что домашней.. У меня всё оборудование такого уровня как zyxel GS1910-24 GigaBit Ethernet Switch »

Хорошая вещь.

Цитата hozman:

Хотя, как я понимаю, возможности Микротика более обширны, верно? »

Да, но всё зависит от модели, там есть разные модификации с разной производительностью и под разные нужды.

Цитата hozman:

Но цена ниже у Микротика. Это так и должно быть? »

Да. Микротик позиционирует себя как продукция по божеским ценам и для дома и для компаний (малых и средних, но это не значит, что нельзя их продукцию использовать в больших и очень больших компаниях, просто у таких компаний подход немного другой).