Интернет через rdp: Про удаленку, незащищенный RDP и рост числа серверов, доступных из интернета / Хабр

Posted on by alexxlab

Содержание

Про удаленку, незащищенный RDP и рост числа серверов, доступных из интернета / Хабр

Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета. Одна из главных причин – применение незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По нашим данным, всего за одну неделю только в России количество устройств, доступных из интернета по протоколу RDP, выросло на 15%.



На сегодня самый популярный способ организовать удаленную работу – удаленное подключение к рабочему месту, поскольку ПО для подключения к удаленному рабочему столу входит в состав любой современной версии Windows, а процесс такой работы для сотрудника ничем не отличается от обычного доступа к рабочей системе. Для обеспечения удаленного доступа применяется протокол RDP, который по умолчанию использует порт 3389.

К сожалению, из-за паники многие компании не уделяют должного внимания защите удаленного доступа к рабочему месту, что несет с собой множество угроз.

Например, нередки ситуации, когда удаленный сервер доступен и виден из сети Интернет – любой желающий может попробовать подключиться к нему. Несмотря на необходимость идентификации и аутентификации, злоумышленник может забрутфорсить пароль или подменить сертификат безопасности. К тому же существует немало известных уязвимостей, позволяющих получить доступ к удаленному серверу даже без прохождения процедуры проверки подлинности.

Насколько актуальными являются эти угрозы? Для ответа на этот вопрос мы c помощью различных инструментов провели анализ и мониторинг количества устройств, доступных из сети Интернет по протоколу RDP. Основываясь на полученных данных, можно сделать вывод, что из-за массового перевода сотрудников на удаленную работу количество доступных устройств стремительно растет. Так, всего за неделю число доступных серверов в мире увеличилось более чем на 20% и достигло отметки в 3 миллиона. Похожая ситуация наблюдается и в России – рост доли доступных серверов почти на 15%, общее число составляет более 75 000.

Эта статистика начинает пугать, ведь не так давно отгремели несколько крупных уязвимостей, связанных с RDP. В середине 2019 года была обнаружена критическая уязвимость под номером CVE-2019-0708, получившая название BlueKeep, а через несколько месяцев также были опубликованы сведения о критических уязвимостях CVE-2019-1181/1182, получивших название DejaBlue. Как первая, так и вторая не связаны непосредственно с протоколом RDP, но касаются службы удаленных рабочих столов RDS и позволяют при успешной эксплуатации путем отправления через RDP специального запроса получить возможность выполнения произвольного кода на уязвимой системе, даже не проходя при этом процедуру проверки подлинности. Достаточно лишь иметь доступ к хосту или серверу с уязвимой системой Windows. Таким образом, любая система, доступная из сети Интернет, является уязвимой при отсутствии установленных последних обновлений безопасности Windows.

Для устранения угрозы эксплуатации BlueKeep и DejaBlue компанией Майкрософт были своевременно выпущены обновления безопасности, однако это всего лишь несколько примеров известных угроз, связанных с незащищенным удаленным доступом. Каждый месяц в обновлениях безопасности Windows исправляются новые обнаруженные уязвимости, касающиеся RDP, успешная эксплуатация которых может приводить как к краже важной информации, так и к внедрению и быстрому распространению вредоносных программ по всей инфраструктуре компании.

Во время любых массовых событий, тем более таких пугающих, как глобальная пандемия, неизбежно возрастает количество атак на организации. Компании стараются как можно быстрее обеспечить удаленный доступ всем сотрудникам, но в такой спешке очень легко забыть или пренебречь правилами защиты. Именно поэтому крайне нежелательно использовать обычный незащищенный удаленный доступ к рабочему столу. Рекомендуется использовать VPN c двухфакторной аутентификацией и реализовывать удаленный доступ на основе защищенных протоколов.

Как настроить удалённый доступ через RDP

Что такое RDP?

Наверняка, многие из вас уже слышали и видели эту аббревиатуру – дословно переводится она, как Протокол удалённого рабочего стола (Remote Desktop Protocol). Если кого-то интересуют технические тонкости работы этого протокола прикладного уровня – могут почитать литературу, начиная с той же самой википедии. Мы же рассмотрим чисто практические аспекты. А именно тот, что данный протокол позволяет удалённо подключаться к компьютерам, под управлением Windows различных версий с использованием встроенного в Windows инструмента «Подключение к удалённому рабочему столу».

Какие плюсы и минусы в использовании протокола RDP?

Начнём с приятного – с плюсов. Плюс состоит в том, что этот инструмент, который правильней называть Клиентом RDP, доступен любому пользователю Windows как на компьютере, с которого предстоит управлять удалённым, так и тому, кто хочет к своему компьютеру удалённый доступ открыть.

Через подключение к удалённому рабочему столу возможно не только видеть удалённый рабочий стол и пользоваться ресурсами удалённого компьютера, так и подключать к нему локальные диски, принтеры, смарткарты и т.п. Конечно, если вы захотите посмотреть видео или послушать музыку через RDP – вряд ли этот процесс доставит вам удовольствие, т. к. в большинстве случаев вы увидите слайд шоу, и звук скорей всего будет прерываться. Но, не под эти задачи разрабатывалась служба RDP.

Ещё одним несомненным плюсом является то, что подключение к компьютеру осуществляется безо всяких дополнительных программок, которые в большинстве своём платные, хотя и имеют свои достоинства. Время доступа к RDP-серверу (которым и является ваш удалённый компьютер) ограничивается лишь вашим желанием.

Минусов всего два. Один существенный, другой – не очень. Первый и существенный – для работы с RDP компьютер, к которому осуществляется подключение, должен иметь белый (внешний) IP, либо на этот компьютер должна быть возможность «пробросить» порт с маршрутизатора, который опять же должен иметь внешний IP. Статическим он будет или динамическим – значения не имеет, но он должен быть.

Второй минус – не такой существенный – последние версии клиента перестали поддерживать 16-цветную цветовую схему. Минимум – 15бит. Это сильно замедляет работу по RDP, когда вы подключаетесь по чахлому-дохлому интернету со скоростью, не превышающей 64 килобита в секунду.

Для чего можно использовать удалённый доступ по RDP?

Организации, как правило, используют RDP-сервера для совместной работы в программе 1С. А некоторые, даже, разворачивают на них рабочие места пользователей. Таким образом, пользователь, особенно, если у него разъездная работа, может при наличии 3G интернета или отельного/кафешного Wi-Fi – подключаться к своему рабочему месту удалённо и решать все вопросы.

В некоторых случаях домашние пользователи могут использовать удалённый доступ к своему домашнему компьютеру, чтобы получить какие-то данные с домашних ресурсов. В принципе, служба удалённого рабочего стола позволяет полноценно работать с текстовыми, инженерными и графическими приложениями. С обработкой видео и звука по вышеприведённым причинам – работать не получится, но всё равно – это очень существенный плюс. А ещё можно на работе просматривать закрытые политикой компании ресурсы, подключившись к домашнему компьютеру безо всяких анонимайзеров, vpn и прочей нечисти.

Подготавливаем интернет

В предыдущем разделе мы говорили о том, что для обеспечения возможности удалённого доступа по протоколу RDP нам необходим внешний IP-адрес. Этот сервис может обеспечить провайдер, поэтому звоним или пишем, или заходим в личный кабинет и организовываем предоставление этого адреса. В идеале он должен быть статический, но и с динамическим, в принципе, можно жить.

Если кому-то не понятна терминология, то статический адрес – это постоянный, а динамический – время от времени меняется. Для того, чтобы полноценно работать с динамическими IP-адресами придумали различные сервисы, которые обеспечивают привязку динамического домена.  Что и как, скоро будет статья на эту тему.

Подготавливаем роутер

Если ваш компьютер подключен не напрямую к провайдерскому проводу к интернету, а через роутер – с этим устройством нам придётся тоже совершить некоторые манипуляции. А именно – пробросить порт сервиса — 3389. В противном случае NAT вашего роутера попросту не будет пускать вас внутрь домашней сети. Тоже относится к настройке RDP-сервера в организации. Если вы не знаете, как пробросить порт – читайте статью про то, Как пробросить порты на маршрутизаторе (откроется в новой вкладке), потом возвращайтесь сюда.

Подготавливаем компьютер

Для того, чтобы создать возможность удалённого подключения к компьютеру, необходимо сделать ровно две вещи:

— разрешить подключение  в Свойствах Системы;
— задать пароль для текущего пользователя (если он не имеет пароля), либо создать нового пользователя с паролем специально для подключения по RDP.

Как поступать с пользователем – решайте сами. Однако, имейте ввиду, что штатно не серверные операционные системы не поддерживают множественный вход. Т.е. если вы залогинились под собой локально (консольно), а потом зайдёте под тем же пользователем удалённо – локальный экран заблокируется и сеанс на том же самом месте откроется в окне Подключения к удалённому рабочему столу. Введёте пароль локально, не выйдя из RDP – вас выкинет из удалённого доступа, и вы увидите текущий экран на своём локальном мониторе. Тоже самое вас ждёт, если вы зайдёте консольно под одним пользователем, а удалённо попытаетесь зайти под другим. В этом случае система предложит завершить сеанс локального пользователя, что не всегда может быть удобно.

Итак, заходим в Пуск, щёлкаем правой кнопкой по меню Компьютер и нажимаем Свойства.

В свойствах Системы выбираем Дополнительные параметры системы

В открывшемся окне переходим на вкладку Удалённый доступ

…нажимаем Дополнительно

И ставим единственную галку на этой странице.

Это «домашняя» версия Windows 7 – у кого Pro  и выше, будет больше флажков и возможно сделать разграничение доступа.

Нажимаем ОК везде.

Теперь, вы можете зайти в Подключение к удалённому рабочему столу (Пуск>Все программы>Стандартные), вбить туда IP-адрес компьютера, либо имя, если хотите подключиться к нему из своей домашней сети и пользоваться всеми ресурсами.

Вот так. В принципе, всё просто. Если вдруг будут какие-то вопросы или что-то останется непонятным – добро пожаловать в комментарии.

Теги:

Внимание! Все вопросы по статье прошу писать в комментариях, расположенных ниже, чтобы получить бесплатный ответ.
На вопросы, написанные «в личку», отвечаю только за деньги.
Мат и оскорбления — удаляются, а их автор отправляется в бан навсегда.

Другие статьи в разделе:

  • Как скачать WhatsApp?
  • Как скачать Media Creation Tool Windows 10 после запрета Microsoft
  • Как установить Windows 7 на Asus X751SA (инструкция)
  • Восстановление пароля Администратора на сервере, который является контролером домена
  • Установка драйверов из центра обновления Windows (микроликбез)
  • Как перенести Windows на другой жёсткий диск
  • Как поменять лицензионный ключ Windows 8/8.1
  • Добавление нижних подчёркиваний к расширению файлов в MS Windows Live Mail (микроликбез)
  • Как настроить удалённый доступ через RDP
  • Как качать видео с YouTube
  • Как сделать классическое меню Пуск в Windows 8/8.
    1?
  • Как настроить удаленный доступ к компьютеру в Windows 7
  • Продолжаем чистить диск С:
  • Как очистить почтовый ящик и создать фильтры
  • Записываем образ на диск (микроликбез)
  • Включаем команду Выполнить в Windows Vista/7 (микроликбез)
  • Как освободить место на диске C:?
  • Установка и настройка жестких дисков Western Digital Caviar моделей: WD20EARS, WD15EARS, WD30EZRSDTL и им подобных в среде Windows XP
  • Как сберечь свои данные


    • Удаленный рабочий стол через Интернет (все, что вам нужно знать)

    Как

    Чтобы использовать удаленный рабочий стол Windows через Интернет, вы можете либо использовать виртуальную частную сеть (VPN), либо настроить маршрутизатор для приема запросов с определенного порта, и эти данные, в свою очередь, пересылаются на определенный частный IP-адрес. адрес.

    Чтобы заставить удаленный рабочий стол работать через Интернет, необходимо выполнить несколько шагов. Самый первый шаг для доступа к удаленному рабочему столу через Интернет — убедиться, что удаленный рабочий стол правильно настроен на вашем компьютере и доступен по локальной сети.

    Напоминание: подключение к удаленному рабочему столу недоступно в Windows 10 Домашняя по умолчанию.

    Вариант первый: использование VPN

    Использование виртуальной частной сети (VPN) обеспечивает безопасный способ совместного использования рабочего стола без риска доступа компьютера к Интернету. VPN создает безопасный туннель между вашим локальным компьютером и VPN-сервером, позволяя RDP-серверу подключаться к клиенту, как если бы они были частью одной и той же локальной сети.

    Независимо от того, где вы находитесь, если вы подключитесь к VPN, у вас будет надежный и безопасный доступ к удаленному рабочему столу и любым другим удаленным службам, обычно недоступным за пределами локальной сети.


    Как создать VPN-подключение

    На рынке доступно множество приложений VPN. Если у вашей организации есть определенные предпочтения, обратитесь в службу ИТ-поддержки для получения необходимых конфигураций.

    Если вы используете Windows 10, вы можете использовать встроенную службу VPN. Для подключения вам потребуется следующая информация:

    • • Адрес/имя VPN-сервера.
    • • Тип протокола VPN (PPTP, L2TP/IPSec, OpenVPN, SSTP, IKEv2).
    • • Данные для входа, такие как имя пользователя и пароль.
    Как добавить VPN-подключение в Windows

    Шаги для подключения к службе Windows VPN следующие:

    1. Откройте настройки Windows.
    2. Перейдите в «Сеть и Интернет» > «VPN».
    3. Нажмите «Добавить VPN-подключение».

    4. org/HowToStep»> Введите всю необходимую информацию (провайдер VPN, адрес/имя сервера, тип VPN, тип информации для входа, имя пользователя и пароль) и нажмите «Сохранить».

    Ваше новое подключение будет добавлено в список доступных подключений.

    Помните: некоторые общедоступные сети не позволяют подключаться через VPN. Если это так, вам нужно изменить свою сеть, это невозможно обойти.

    Второй вариант: переадресация портов

    Если по какой-либо причине вы не можете использовать VPN, вы можете сделать свой сервер удаленных рабочих столов прямым доступом через Интернет. Это достигается за счет настройки маршрутизатора на перенаправление всего трафика удаленного рабочего стола на ПК, с которого осуществляется доступ к серверу.

    Открытие портов удаленного рабочего стола сопряжено с риском для безопасности, о котором вы должны знать. Поскольку соединение открыто для Интернета, риск атак намного выше. Хакеры всегда ищут слабые места безопасности удаленного рабочего стола, такие как открытые TCP-порты, обычно используемые для подключений к удаленному рабочему столу.

    Убедитесь, что программное обеспечение безопасности установлено и обновлено, чтобы исправить все известные уязвимости. Используйте надежные пароли и убедитесь, что ваша сеть защищена брандмауэром.

    Как настроить статический IP-адрес в Windows 10

    По умолчанию компьютерам назначается динамический IP-адрес с DHCP-сервера. Динамический IP-адрес меняется каждый раз при повторном подключении компьютера. Если вы хотите настроить маршрутизатор для переадресации портов, рекомендуется установить статический IP-адрес для вашего компьютера. Это избавит вас от необходимости постоянно менять настройки маршрутизатора.

    Если ваш маршрутизатор позволяет сделать текущую конфигурацию TCP/IP статической, обратитесь к веб-сайту производителя, чтобы узнать, как это сделать.

    Чтобы создать статический IP-адрес, выполните следующие действия:
    1. Откройте панель управления.

    2. Перейдите в «Сеть и Интернет» > «Центр управления сетями и общим доступом».

    3. На боковой панели выберите «Изменить настройки адаптера».

    4. Откройте контекстное меню, щелкнув правой кнопкой мыши активный адаптер, и выберите его свойства.

    5. Выберите Интернет-протокол версии 4 (TCP/IPv4) из списка и нажмите кнопку Свойства.

    6. Перейдите на вкладку «Общие» и выберите параметр «Использовать следующий IP-адрес».
    7. Введите действительный IP-адрес в поле. Убедитесь, что он находится за пределами локального диапазона IP-адресов DHCP, чтобы избежать конфликтов IP-адресов с существующими компьютерами в сети.

      Совет. Если вы не уверены в настройках DHCP, посетите веб-сайт производителя маршрутизатора. Вы можете просмотреть существующие IP-адреса, используемые в вашей сети, открыв командную строку и введя ipconfig /all. Это может быть полезной отправной точкой.

    8. Маска подсети обычно заполняется автоматически на основе введенного вами IP-адреса. Если это неверно, вы можете изменить его при необходимости.
    9. Убедитесь, что шлюз по умолчанию настроен правильно. Это адрес роутера.
    10. В разделе «Использовать следующие адреса DNS-серверов» добавьте свой DNS-сервер в поле «Предпочитаемый DNS-сервер».

      Полезный совет: если вы обнаружите, что не можете подключиться к Интернету, используйте общедоступный DNS-адрес Google 8.8.8.8 в качестве альтернативного DNS-сервера.

    11. Нажмите «ОК», затем «Закрыть», чтобы завершить процесс. Ваши изменения вступят в силу немедленно.

    Как определить общедоступный IP-адрес вашей сети

    Помимо IP-адреса вашего локального компьютера, вам необходимо знать общедоступный IP-адрес удаленной сети для подключения к удаленному устройству.

    Вы можете определить IP-адрес, выполнив следующие простые шаги

    1. Откройте веб-браузер
    2. Используя предпочитаемую поисковую систему, введите «Какой у меня IP-адрес».
    3. Когда вы нажмете ввод, ваш IP будет отображаться на экране.

    Иногда интернет-провайдер может предлагать динамический общедоступный IP-адрес, что означает, что ваш общедоступный IP-адрес может измениться. Если это проблема, вы можете использовать службы «Динамической системы доменных имен» (DDNS), которые будут отслеживать и идентифицировать изменения общедоступных IP-адресов. Некоторые из этих служб включают DynDNS, OpenDNS, No-IP и т. д.

    Вы также можете запросить статический IP-адрес у поставщика услуг, но это может повлечь за собой дополнительные расходы.

    Настройка маршрутизатора для переадресации портов

    Чтобы разрешить подключение к удаленному рабочему столу через Интернет, необходимо перенаправить TCP-порт 3389 по умолчанию на маршрутизаторе, чтобы разрешить удаленные подключения.

    Обратите внимание, что приведенные инструкции относятся к маршрутизатору Xiaomi Mi Router AX1800 и, скорее всего, будут отличаться от того, что вы видите. Пользовательский интерфейс маршрутизаторов различается в зависимости от производителя или даже модели устройства. Однако вы можете использовать их в качестве справки при настройке маршрутизатора. И не забудьте проверить документацию производителя для более конкретных шагов.

    Чтобы переадресовать порт удаленного рабочего стола на маршрутизаторе, выполните следующие действия:
    1. Откройте командную строку.
    2. Введите ipconfig и нажмите Enter. Это покажет текущую конфигурацию TCP/IP.
    3. Убедитесь, что поля «Адрес IPv4» и «Шлюз по умолчанию» указаны правильно.

    4. Откройте предпочтительный веб-браузер и введите IP-адрес маршрутизатора (шлюз по умолчанию) в адресную строку.

    5. Введите свои учетные данные в поля входа, чтобы войти в панель администратора маршрутизатора. Если это новый маршрутизатор, имя пользователя и пароль по умолчанию обычно можно найти на наклейке на устройстве.

    6. Перейдите на страницу настроек переадресации портов.

    7. Включить службу переадресации портов (если она не включена).
    8. Создайте соответствующее правило, выбрав «Добавить правило», и введите следующую информацию:
      • • Имя правила
      • • Протокол: TCP
      • • Внешний порт: 3389
      • • Внутренний порт: 3389
      • • Внутренний IP-адрес: введите IP-адрес компьютера, к которому вы хотите подключиться.

    9. Когда закончите, нажмите «Добавить». Указанный порт будет открыт для подключения к удаленному рабочему столу через Интернет.

    СВЯЗАННЫЕ СТАТЬИ

    • ↗ Как использовать приложение Microsoft Remote Desktop в Windows 10
    • ↗ Как разрешить несколько подключений RDP
    • ↗ Как отключить RDP в Windows 10

    Electronic Team использует файлы cookie, чтобы персонализировать ваш опыт на нашем веб-сайте. Продолжая использовать этот сайт, вы соглашаетесь с нашей политикой в ​​отношении файлов cookie. Кликните сюда, чтобы узнать больше.

    Удаленный рабочий стол — разрешить доступ к вашему ПК из-за пределов вашей сети

    Редактировать

    Твиттер LinkedIn Фейсбук Электронная почта

    • Статья
    • 2 минуты на чтение

    Применяется к: Windows Server 2022, Windows Server 2019, Windows 10, Windows Server 2016

    Когда вы подключаетесь к компьютеру с помощью клиента удаленного рабочего стола, вы создаете одноранговое соединение. Это означает, что вам нужен прямой доступ к ПК (иногда называемый «хост»). Если вам нужно подключиться к компьютеру из-за пределов сети, в которой работает ваш компьютер, вам необходимо включить этот доступ. У вас есть несколько вариантов: использовать переадресацию портов или настроить VPN.

    Включить переадресацию портов на вашем маршрутизаторе

    Переадресация портов просто сопоставляет порт на IP-адресе вашего маршрутизатора (ваш общедоступный IP-адрес) с портом и IP-адресом ПК, к которому вы хотите получить доступ.

    Конкретные действия по включению переадресации портов зависят от используемого маршрутизатора, поэтому вам необходимо найти в Интернете инструкции для своего маршрутизатора. Общее обсуждение шагов можно найти в статье wikiКак настроить переадресацию портов на маршрутизаторе.

    Перед сопоставлением порта вам потребуется следующее:

    • Внутренний IP-адрес ПК: Посмотрите Настройки > Сеть и Интернет > Статус > Просмотр свойств сети . Найдите конфигурацию сети со статусом «Работает», а затем получите IPv4-адрес .

    • Ваш общедоступный IP-адрес (IP-адрес маршрутизатора). Есть много способов найти это — вы можете выполнить поиск (в Bing или Google) по запросу «мой IP» или просмотреть свойства сети Wi-Fi (для Windows 10).

    • Сопоставляемый номер порта. В большинстве случаев это 3389 — это порт по умолчанию, используемый для подключений к удаленному рабочему столу.

    • Административный доступ к вашему маршрутизатору.

      Предупреждение

      Вы открываете свой компьютер для доступа в Интернет, что не рекомендуется. Если необходимо, убедитесь, что для вашего ПК установлен надежный пароль. Предпочтительнее использовать VPN.

    После сопоставления порта вы сможете подключиться к хост-компьютеру из-за пределов локальной сети, подключившись к общедоступному IP-адресу вашего маршрутизатора (второй пункт выше).

    IP-адрес маршрутизатора может измениться — ваш интернет-провайдер (ISP) может назначить вам новый IP-адрес в любое время. Чтобы избежать этой проблемы, рассмотрите возможность использования динамического DNS — это позволяет вам подключаться к ПК, используя легко запоминающееся доменное имя вместо IP-адреса. Ваш маршрутизатор автоматически обновляет службу DDNS с вашим новым IP-адресом, если он изменится.

    В большинстве маршрутизаторов можно указать, какой исходный IP-адрес или исходная сеть могут использовать сопоставление портов. Итак, если вы знаете, что собираетесь подключаться только с работы, вы можете добавить IP-адрес своей рабочей сети, что позволит вам не открывать порт для всего общедоступного Интернета. Если хост, который вы используете для подключения, использует динамический IP-адрес, установите ограничение источника, чтобы разрешить доступ из всего диапазона этого конкретного интернет-провайдера.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *