[Flexy]

Добрый день.
Есть Сервер на Win2k3.На нем сервер терминалов.2 сетевые.Одна в локалку 192.168.0.1, другая в АДСЛ модем 192.168.1.1.
На модеме проброшен порт 3389 для подключения к RDP.
Последнее время в диспетчере служб терминалов я начал наблюдать периодические сессии с процессом winlogon.exe.Такая сессия висит на определенном порте 2 секунды после чего прерывается и создаться такая же только с последующим номером порта.Неужели снифят порты?
Скрины прилагаю:




Результат netstat -n с непонятным мне ip:


Локация этого ip:
Имя: 83.245.209.245
IP: 83.245.209.245

country: FI (Финляндская Республика)
address: Elisa Oyj

Я понимаю, что на данный момент сервер открыт как гритца голой попой на весь инэт (т.е. соединение идет по стандартному порту для RDP).Но поднять на данный момент ВПН нет возможности.

Кто с таким сталкивался?На сколько велика угроза?Варианты решения этой проблемы?
Заранее спасибо за любые советы.

[Acid]

а фаервол стоит?

[Acid]

зы: угрозы никакой нет. просто некоторые шутники могут винт отформатировать

[Flexy]

зы: угрозы никакой нет. просто некоторые шутники могут винт отформатировать

Весьма обнадеживает
Фаервол есть.Но толку, если РДП порт открыт на весь инэт...

[logist]

Но толку, если РДП порт открыт на весь инэт...

Обеспечить доступ только с определенных IP.
Если фирма не может обеспечить доступ со статического IP, значит вопрос фирме - а стоит ли эта затея безопасности?

[Vond]

есть решение от МС для такого случая, на сервере меняется стандартный порт на нестандартный - просто хоть по сути ничего не изменилось.
[необходимо зарегистрироваться для просмотра ссылки]

[Vond]

Весьма обнадеживает
Фаервол есть.Но толку, если РДП порт открыт на весь инэт...

ну неужели трудно ввести в фаервол разрешение для РДП не для всег оинета ? а например для диапазона IP используемых в работе провайдеров провайдеров: типа: ходи на 3389 только тот кто из 8.8.8.8-9.9.9.9

[Flexy]

ну неужели трудно ввести в фаервол разрешение для РДП не для всег оинета ? а например для диапазона IP используемых в работе провайдеров провайдеров: типа: ходи на 3389 только тот кто из 8.8.8.8-9.9.9.9

Я бы с удовольствием бы так и сделал.Но ай-пи у юзеров динамические...

[Acid]

VPN + внешний сервер(переход из локалки через другую сеть) для выхода в мир

[logist]

Я бы с удовольствием бы так и сделал.Но ай-пи у юзеров динамические...

Я Вам выше написал ответ по этому поводу. Если фирма хочет обеспечить безопасность - пусть платит за статический IP, если жаба - то не парьте себе мозги, просто предупредите владельца о возможных проблемах безопасности.

[Acid]

действительно. сколько стоит нынче статический ай-пи? где-то 100грн/мес. что такое 100грн для предприятия???

[logist]

сколько стоит нынче статический ай-пи?

у меня домашний инет со статическим, плачу 5 грн./мес.
даже если 100, все равно безопасность дороже.

[Vond]

Я бы с удовольствием бы так и сделал.Но ай-пи у юзеров динамические...

Маэтро, кажется вы сильно плаваете в том что такое ИП адрес динамический.
Если ваши юзеры пользуют все например оператора УТЕЛ, но им выдаются адреса из диапазона (ИП от балды) 172.23.1.1 до 172.24.254.254
Если операторы Киевстар или МТС то может быть (192.169.1.1 - 192.169.3.ХХХ). К вам ломится юзер злобный из диапазона того провайдера
inetnum: 83.245.208.0 - 83.245.211.255
netname: ELISA-ADSL
descr: Elisa Oyj
country: FI
admin-c: KH-RIPE
tech-c: KH-RIPE
status: ASSIGNED PA
mnt-by: ELISA-MNT
source: RIPE # Filtered

ну так закройте нафиг этот диапазон для доступа! а диапазонов ваших юзерей можно по пальцам сосчитать если включить голову, ну или википедию почитать

[Flexy]

Маэтро, кажется вы сильно плаваете в том что такое ИП адрес динамический.
Если ваши юзеры пользуют все например оператора УТЕЛ, но им выдаются адреса из диапазона (ИП от балды) 172.23.1.1 до 172.24.254.254
Если операторы Киевстар или МТС то может быть (192.169.1.1 - 192.169.3.ХХХ). К вам ломится юзер злобный из диапазона того провайдера
inetnum: 83.245.208.0 - 83.245.211.255
netname: ELISA-ADSL
descr: Elisa Oyj
country: FI
admin-c: KH-RIPE
tech-c: KH-RIPE
status: ASSIGNED PA
mnt-by: ELISA-MNT
source: RIPE # Filtered

ну так закройте нафиг этот диапазон для доступа! а диапазонов ваших юзерей можно по пальцам сосчитать если включить голову, ну или википедию почитать

Спасибо за ликбез.
А как мне с теми юзерами, которые неделю торчат в командировке в Германии и заходят с разных гостинец или с разных кафешек где есть Wifi покрытие?
А на следующую неделю они едут скажем в Россию или Белоруссию и там такая же ситуация повторяется...

[Vond]

Спасибо за ликбез.
А как мне с теми юзерами, которые неделю торчат в командировке в Германии и заходят с разных гостинец или с разных кафешек где есть Wifi покрытие?
А на следующую неделю они едут скажем в Россию или Белоруссию и там такая же ситуация повторяется...

Идите не от разрешений, а от запретов - не понравился ИП или действия с него - закрывайте всю сеть!!
благо сервисов таких в миру полно [необходимо зарегистрироваться для просмотра ссылки] например

[Vond]

ПС: в Германии в командировке? Вам на работу ИТшник болтливый не нужен?

[Flexy]

ПС: в Германии в командировке? Вам на работу ИТшник болтливый не нужен?

Че, готовы перебраться в Днепр?

[Acid]

А как мне с теми юзерами, которые неделю торчат в командировке в Германии и заходят с разных гостинец или с разных кафешек где есть Wifi покрытие?
А на следующую неделю они едут скажем в Россию или Белоруссию и там такая же ситуация повторяется...

ну тогда только ВПН