Часто у наших клиентов (обычно это небольшие организации без собственной IT службы) возникает необходимость предоставить доступ к своему серверу терминалов (о настройке и обеспечении отказоустойчивости будет отдельная статья) через глобальную сеть Интернет. Мы конечно же советуем так не делать, а использовать для подключения VPN (рекомендуем любимый нами SoftEther VPN Server), но если уж клиент настаивает, то стараемся максимально его обезопасить. И вот как раз про средства, которыми мы этого достигаем и пойдет речь в этой статье…
Первая программа, о которой мы расскажем называется Cyberarms Intrusion Detection and Defense Software (IDDS).
К сожалению, судя по всему, разработка была прекращена в 2017-м году, но тем не менее программа (с некоторыми нюансами — о них далее) работает даже на ОС Windows Server 2019.
Принцип действия довольно таки простой, но в тоже время эффективный: после нескольких неудачных попыток ввода пароля(количество для блокировки определено в параметрах) срабатывает Soft lock(подозрение в брутфорсе), в журнале создается инцидент и IP помечается как подозрительный. Если новых попыток не последовало, то спустя 20 минут адрес убирается из списка наблюдаемых. Если же перебор паролей продолжается, то IP адрес «злоумышленника» добавляется в запрещающее подключения правило брандмауэра Windows (должен быть в активированном состоянии) и тем самым подбор пароля с этого адреса временно прекращается, так как подключения полностью блокируются. Блокировка Hard lock продлится 24 часа — такой параметр выставлен по умолчанию. Вечную блокировку,»Hard lock forever», включать не рекомендуем, иначе количество IP в правиле брандмауэра быстро «распухнет» и программа будет тормозить.
Устанавливается программа просто — скачиваем архив с установщиком, распаковываем во временную папку. Cкачиваем и устанавливаем Microsoft Visual C++ 2010 x64 (vcredist_x64.exe) и только после этого запускаем пакет установщика Windows —Cyberarms.IntrusionDetection.Setup.x64.msi, потому как у setup.exe скачать и установить автоматически Visual C++ не получается.
Далее производим настройку — активируем агент для защиты RDP сессий «TLS/SSL Security Agent«, во вкладке «AGENTS«:
Вторая программа — Duo Authentication for Windows Logon and RDP
это инструмент для мультифакторной аутентификации от Duo Security (Cisco), коммерческий многофункциональный продукт, который безупречно работает и позволяет использовать смартфоны, токены и коды для 2FA.
Настраивается ПО немного сложнее предыдущей программы, но благодаря хорошей документации от разработчика довольно таки быстро.
-
Зарегистрируйте себе административный аккаунт, для доступа к панели управления (Личный кабинет). Рекомендуем сразу добавить еще одного администратора, потому как восстановить доступ с помощью разработчика довольно таки проблематично, а прецеденты с неожиданной утратой смартфона администратора возникают часто.
-
Войдите в панель администратора Duo и перейдите в Приложения (Applications).
-
Нажмите «Защитить приложение» и найдите в списке приложений запись для Microsoft RDP. Щелкните Защитить в крайнем правом углу, чтобы настроить приложение и получить ключ интеграции, секретный ключ и имя хоста API. Эта информация понадобится вам для завершения настройки (в процессе установки Duo Authentication for Windows Logon).
Мы рекомендуем установить политики по умолчанию для новых пользователей приложения Microsoft RDP значение «Запрет доступа«, поскольку ни один незарегистрированный в Duo пользователь не должен успешно проходить авторизацию. Но для этого вам будет необходимо добавить всех пользователей в Duo через панель управления вручную или, что намного удобнее, через импорт из Active Directory (об этом расскажем позже) и выслать им ссылку для активации приложения Duo Security, предварительно установленному на их смартфонах.
4. Загрузите и установите пакет установщика Duo Authentication for Windows Logon. Во время установки введите данные, полученные на предыдущем шаге.
Если вы хотите включить автономный доступ с помощью Duo MFA, вы можете сделать это сейчас в разделе «Настройки автономного доступа» на странице приложения Duo или вернуться в панель администратора позже, чтобы настроить автономный доступ после первой проверки успешного входа в систему с помощью двух-факторной аутентификации.
Также во время установки рекомендуем установить все 3 галки в чекбоксах — эти настройки позволят вам получать доступ в ОС без 2FA, например при использовании консоли гипервизора или при отсутствии подключения к серверам Duo (частый случай — большое расхождение по времени):
не лишним будет напоминание о безопасном хранении всех ключей:
Treat your secret key like a passwordThe security of your Duo application is tied to the security of your secret key (skey). Secure it as you would any sensitive credential. Don’t share it with unauthorized individuals or email it to anyone under any circumstances!
После установки Duo Authentication for Windows Logon можно добавить пользователя (своего, без привилегий администратора) и активировать приложение на смартфоне. Для этого переходим в раздел Users, жмем Add User — заполняем необходимые поля. Далее добавляем пользователю телефон (раздел Phones — Add Phone) и активируем Duo Moibile (ссылку для активации пользователю можно отправить SMS, если есть деньги на балансе или вручную через Email или другим удобным способом).
Теперь при подключении и успешной авторизации (по логину и паролю) пользователю будет отправлено Push уведомление на смартфон с активированным приложением Duo Mobile:
Если на смартфоне нет доступа в Интернет (и соответственно Push приходить не будут), то можно подтвердить авторизацию сгенерированным кодом (Passcode ) из приложения:
Настройка синхронизации пользователей с глобальным каталогом (Azure AD — Active Directory — LDAP) хорошо описана в документации разработчика, хочу лишь уточнить что это платный функционал. Основной компонент для синхронизации пользователей, это Duo Authentication Proxy — ПО, которое обеспечивает подключение к каталогу.
Если вы используете RDWEb (клиентский доступ или шлюз), то вам пригодится еще один компонент — Duo Authentication for Microsoft Remote Desktop Web. Настройка его аналогична Duo Authentication for Windows Logon и не должна вызвать затруднений.
Подводя итоги заметим, что рассмотренное ПО не является панацеей от всех бед для публичных сервисов (доступных из сети Интернет), потому как бывают уязвимости, эксплуатация которых позволяет злоумшленникам обходить даже такие меры по обеспечению безопасности ОС\инфраструктуры в целом. Поэтому требуется всегда комплесно подходить к этому вопросу — мониторинг, аудит и регламентные процедуры по обновлению позволят вам почувствовать себя защищенными в этом неспокойном мире. Берегите свои данные!
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Используете ли вы в своей инфраструктуре сервер терминалов?
58.43% Да, подключение к рдп исключительно через VPN52
35.96% Да, сервер терминалов доступен напрямую из Интернета32
Проголосовали 89 пользователей. Воздержались 17 пользователей.
Protects Windows PCs against brute force attacks and intrusion attempts
- Telegram
We do not have a download file for the latest version (2.2), but you can try downloading it from the developer’s site
Latest versions of Cyberarms Intrusion Detection
Nov 14, 2017
cyberarms.intrusiondetection.setup.x64_2.2.0.zip
Mar 20, 2014
cyberarms.intrusiondetection.2.1.4.x64.zip
Alternative software
Provide feedback
Saved searches
Use saved searches to filter your results more quickly
Sign up
Любой Windows сервер с открытым в Сеть RDP, является легкой мишенью. В такой ситуации, держать RDP (Remote Desktop Protocol) порт открытым в Интернет — это весьма небезопасно, и делать так не стоит. Так что, VPN является самым надежным способом защиты RDP.
По теме:
- «Защита RDP подключения от брутфорса при помощи IPBan.»
- «Настройка RDP (защита от перебора паролей).»
Однако, по прежнему, некоторые владельцы серверов, предпочитают оставлять свой RDP открытым в Сеть. Ниже, мы рассмотрим способ защиты RDP от постоянных атак по бруту/перебору паролей.
Сложно и нужна помощь в настройке сервера? Есть вопросы? Качественная и надежная IT-помощь по доступным ценам:
- Настройка Windows Server для пользователей СНГ
- Настройка Linux сервера для пользователей СНГ
- Помощь в администрировании серверов для пользователей Украины и СНГ
Защита RDP от буртфорса на Windows Server.
Есть бесплатное решение, позволяющее обнаруживать и защищать от вторжений (IDDS) Windows Server. Программное обеспечение Cyberarms, блокирует атаки методом перебора на серверах Windows. На официальном сайте, можно скачать бесплатную версию Cyberarms: https://cyberarms.net/
Решение примечательно тем, что позволяет контролировать и защищать:
- FTP
- TLS/SSL
- RRAS — Routing and Remote Access
- Kerberos pre-authentication
- AD Credential Validation
- Windows Base
- FileMaker
- SMTP
- SQL Server
Блокировка происходит через созданное правило в брандмауэре Windows (поэтому
он должен быть включен и работать на сервере), куда записываются
IP-адреса, с которых происходит перебор.
Открываем оф. сайт программы и скачиваем Cyberarms:
После загрузки, у нас будет архив, с двумя файлами. Один .msi, а второй .exe
- Cyberarms.IntrusionDetection.Setup.x64.msi
- setup.exe
Распаковываем содержимое архива в любую папку. Установите ПО при помощи установщика на выбор и запустите программу Cyberarms.
Было замечено, что меньше сбоев происходит в процессе установки, если использовать установочный пакет/установщик .msi
После запуска программы, если вам необходимо настроить защиту для RDP соединений, откройте вкладку «Agents»:
Во вкладке «Agents», выбираем «TLS/SSL Security Agent». В данной вкладке, ставим галочку напротив «Enable this Security Agent» и сохраняем настройки:
Если вам необходимо изменить количество неудачных попыток авторизации и бана атакующего, выберите дополнительно «Override configuration» и настройте параметры под себя:
Дополнительно, стоит обратить внимание, что по умолчанию указан в программе RDP стандартный/по умолчанию порт 3389. Если вы меняли стандартный порт RDP на свой, укажите его в программе Cyberarms:
Блокировка происходит через созданное правило в брандмауэре Windows (поэтому
он должен быть включен и работать на сервере), куда записываются
IP-адреса, с которых происходит перебор.
Если вы используете FTP сервер бекапов, можно настроить защиту и для FTP сервера.
Защита FTP посредством Cyberarms Intrusion Detection and Defense Software (IDDS).
Как и в случае настройки Cyberarms для защиты RDP, открываем вкладку «Agents», выбираем «FTP Security Agent». В данной вкладке, ставим
галочку напротив «Enable this Security Agent» и сохраняем настройки:
При необходимости, как и с настройками RDP, мы можем более гибко настроить время блокировки, указать количество неудачных попыток входа и сменить порт FTP, если он у нас не по умолчанию (по умолчанию, порт FTP 21).
Блокировка происходит через созданное правило в брандмауэре Windows (поэтому
он должен быть включен и работать на сервере), куда записываются
IP-адреса, с которых происходит перебор.
В главном окне программы Cyberarms, вы можете наблюдать статистику:
Если вам нужно временно отключить работу Cyberarms, вы можете выбрать паузу напротив «Servise is running»:
Аналогично, вы можете включить обратно:
Заключение.
Программное обеспечение Cyberarms Intrusion Detection and Defense Software (IDDS), не является альтернативой использования VPN. Это, скорей временное решение в тех ситуациях, где нет пока VPN и доступ к RDP выставлен наружу. Тот, кто пострадал после атак вирусов-шифровальщиков и думает, что так можно защититься от них в будущем, находиться на неверном пути. VPN является лучшей защиты для RDP.
В добавок, данное ПО уже давно не обновлялось и не поддерживаеться разработчиком. Не всегда работает корректно. Бывают ситуации, когда Cyberarms перестает добавлять IP-адреса для блокировки в брандмауэр Windows.
На форумах, можно найти сообщения о том, что это мощная система для защиты от атак брутфорса на RDP. Однако, нужно отдавать себе отчет, что ПО не обновляется разработчиком, содержит ошибки в работе, зависает и периодически вообще отключается. С другой стороны, задумка Cyberarms Intrusion Detection and Defense Software (IDDS) является отличной и при стабильной работе, Cyberarms показывает хорошие результаты и предотвращает атаки методом брутфорса. При этом, не стоит использовать данное решение, в качестве основной линии защиты.
Как писал выше, рекомендую посмотреть дополнительный материал в заметке: «Настройка RDP (защита от перебора паролей).»
Вы можете организовать свой VPN на базе облачных решений. Аналогично, можно организовать создание и хранение резервных копий в облаке. Узнать больше…
Добавлено 04.07.2021
Есть доступное по цене и надежное
решение с готовым виртуальным сервером VPN для бизнеса, которое можно
развернуть буквально за считанные минуты. Услуга предоставляется только
для юридических лиц Украины. Узнать больше…
Добавить 15.05.2022
Полезная заметка добавлена: Настройка двухфакторной аутентификации (2FA) в Windows с помощью MultiOTP.
Protect your PC from unwanted access and attacks with this intrusion detection and defense utility that offers access lockdown and keeps hackers at bay.
- Cyberarms Intrusion Detection
- Version :2.2.0
- License :Demo
- OS :Windows All
- Publisher :Cyberarms
Download Now
Cyberarms Intrusion Detection Description
Maintaining a PC free from hacker attacks and login or intrusion attempts often makes users resort to multiple complex software suites. Fortunately, Cyberarms Intrusion Detection is here to provide a centralized platform, which will allow people to achieve an increased PC protection. Featuring an accessible package, it enables people to easily configure their intrusion detection and lockdown procedures, with customizable security agents.
Clean interface that offers an excellent overview of all the intrusion detection and lockdown settings
The application boasts a plain interface that provides users a stylish layout that promotes an increased handling efficiency. A thoughtful tab array offers an intuitive workflow sequence, allowing one to configure the security settings step-by-step, without having to return or move in advance to other menus.
On the main security overview tab, Cyberarms Intrusion Detection will display a summary of the latest login attempts and intrusions which have been blocked. Furthermore, detailed information for each of the installed security agents is also provided, offering users an in-depth view of their security status.
Improve your PC’s security by configuring the intrusion detection and locking features provided by this utility
Users will be able to visualize additional information about the security status of their PCs and the application will provide security logs, with details for each agent and an extensive configuration module for each one. They will be able to construct the preferred lockout configuration for each agent in particular, therefore achieving increased protection.
A dedicated settings module allows users to configure settings such as soft or hard locks and access a permanent lockdown module in case circumstances require such actions. Thanks to its straightforward interface and intuitive settings, Cyberarms Intrusion Detection will allow even novice users to define the preferred security settings in no time.
Consistent security platform that will help users avoid unwanted intrusions and login attempts on their PCs
This application addresses those who need to protect their PCs from hacker intrusions, login attempts and unwanted access. It will offer them a straightforward package that features a centralized console where all the security settings can be defined with ease. They will be able to visualize security reports, configure the installed security agents selectively and improve their PCs security status in no time.
Post Views: 0