Dois-je encore bloquer les attaques sur mon server une fois que je l'ai verrouillé par IP?

J'ai un server dédié public auquel les clients se connectent via RDP. J'utilise rdpguard pour bloquer de mauvaises tentatives de connection RDP sur mon server. Récemment, je l'ai verrouillé pour ne permettre que des adresses IP spécifiques via un pare-feu Windows.

Ai-je encore besoin d'un programme comme rdpguard pour bloquer ces attaques ou puis-je l'enlever et libérer les ressources que rdpguard utilise? Est-ce que cela sert un but maintenant ou est-ce que le pare-feu les empêche de tenter même de se connecter?

Je n'ai pas de pare-feu matériel et je ne peux pas en avoir un pour mon scénario, s'il vous plaît, évitez ce sujet.

Je vous remercie!

Le pare-feu de Windows ne bloque pas nécessairement votre machine contre les attaques de force brute sur le port TCP 3389. Il filter simplement via une list de contrôle d'access pour ceux que vous autorisez à utiliser ce port / service. Il existe de nombreuses façons d'attaquer le service RDP même avec un pare-feu Windows. Si vous n'utilisez pas déjà SSL, je vous recommand de le faire comme décrit dans ce mode de technique .

Je voudrais garder RDPGuard sur votre système comme une défense de «pauvre homme» en profondeur

Eh bien, si vous refusez l'access à tous, sauf l'adresse IP de votre client, tout ce que rdpguard ferait est de bloquer les mauvaises tentatives de connection de votre client.

Il n'est probablement pas nécessaire de continuer à fonctionner, mais encore une fois, cela ne fait pas de mal.

Le pare-feu de Windows ne fait qu'un travail efficace en fonction de la couche 3 alors que vous devriez regarder jusqu'à la couche 7, filtrage de couche d'application. Technet déclare ici que:

À l'exception d'un trafic de protocole de transfert de files (FTP), le Pare-feu Windows n'utilise pas les informations de la couche Application pour filterr de façon significative le trafic.

Alors que cet article est pour Server 2003, la même chose est vraie pour 2008. Bien que je n'ai pas utilisé rdpgaurd, il semble que la surveillance du journal n'est plus qu'une véritable inspection du trafic.

Pour répondre à votre question: Le montant de la security implémenté doit être proportionnel à la valeur des données que vous protégez. Pour un server interne, la protection de la couche 3 peut être suffisante, mais pour un server public, vous devez implémenter autant de security que possible sans entraver l'opération. Donc, à mon avis, oui, si vous vous souciez de vos clients et de votre réputation de fournisseur de services, vous devez protéger vos systèmes extérieurs. En outre, vous devriez utiliser quelque chose spécifiquement conçu pour un tel scénario. Sans connaître vos parameters opérationnels et depuis que vous avez déclaré que le matériel est hors de question, consultez la gamme de produits Forefront de Microsoft. Sinon, la plupart des principaux fournisseurs de réseau / security (McAfee, Cisco, F5, Checkpoint, etc.) ont une solution logicielle en fonction de votre budget.

Il suffit de garder à l'esprit que RDPGuard repose uniquement sur le journal des events Windows afin de bloquer les adresses IP entrantes. Il existe plusieurs façons de contourner ceci, ce qui signifie que l'application ne reprendra pas l'adresse IP de l'attaquant et ne fera rien à ce sujet.

Il serait préférable que vous préférez changer le port par défaut RDP (3389) à quelque chose d'autre.