Windows Server2008 R2を実行していて、イベントログにさまざまなIPで次のエラーが何度も表示されます。
ターミナルサーバーのセキュリティ層がプロトコルストリームでエラーを検出し、クライアントを切断しました。クライアントIP xxx.xxx.xxx.xxx
私はIPをチェックしましたが、私のチームの誰からのアクセスでも、アクセスを許可されているはずのIPでもありません。 IPの1つはブラックリストに登録されていました。
ここでは、誰かがRDP経由でサーバーにアクセスしようとしていると想定しています。
通常、「許可された」IPアドレスからのRDPのみを受け入れるようにファイアウォールを構成します。しかし、私が直面している問題は、ISPに静的IPがないことであり、そのIPは時々変化します。
自宅に静的IPがないことを考慮して、この問題に対処するための推奨される方法/解決策はありますか?
正確に証明されたセキュリティではありませんが、 Port Knocking を使用すると、特別なパケットのセットを最初にサーバーに送信することにより、閉じたポートを開くことができます。
また、専用のIPアドレスを持つ安価なサーバーを貸し出し、VPNをセットアップしてから、VPN IPからの接続のみを許可するようにファイアウォールを明示的に設定することもできます。
ほとんどのRDP攻撃は、標準の3389ポートをターゲットにしています。そのポートを8123などの非標準ポートに変更すると、リモートデスクトップサービスがそれをリッスンします。
How-to-change-the-listening-port-for-Remote-Desktop
変更したら、リモートデスクトップ接続を開始するときにポート番号を指定する必要があります。例えば。 IPアドレス:8123
RDPGuard (本質的にrdpのfail2ban)をチェックアウトして、適切なパスワードポリシーを適用するために最善を尽くすこともできます。
この質問にはすでに回答済みのマークが付けられていることを理解していますが、MicrosoftはServer 2008 R2に含まれる Microsoft TS(またはRDP)ゲートウェイと呼ばれるサービスを提供しています
これにより、TCP 443ではなく443でリッスンする実際のターミナルサーバーの前に別のサーバー(ターミナルサービスゲートウェイ)を置くことができます。ターミナルの存在をクローキングすることに加えてユーザーはTSゲートウェイ資格情報とドメイン資格情報の両方を持つことができるため、TSゲートウェイサーバーは認証の別の層を追加します。
GPOのオプションを使用して、RDPを既知の信頼できるIPの特定のセットに制限することを検討する必要があります。
数年前に、このイベントログを監視するWindowsサービスを作成しました。また、RDPを介した認証の試行が構成可能な回数失敗すると、ファイアウォールがIPをブロックしました。詳細は、ここにリンク(ソースコードを含む)をダウンロードしてください。
http://huagati.blogspot.com/2014/02/blocking-rdp-brute-force-logon-attacks.html