none
Win Server 2016 Standart в интернете - безопасно? RRS feed

  • Вопрос

  • Добрый день!

    Вывешен сервер на Win Server 2016 Standart в интернете с белым адресом. Из портов открыто только RDP (3389) и апач (80, 443). Все остальные порты закрыты принудительно с помощью Windows Firewall. 

    Вопрос - насколько это безопасно? У винды последние обновления, но стороннего файрвола\антивируса нет.

    Просвятите пожалуйста, кто в теме.

    Была бы unix-based система, там бы ваще не парился. А тут нужно мнение экспертов.

    17 марта 2018 г. 8:23

Ответы

  • Это вопрос концепций. Нет единоверного решения. Зато есть явно не сильно удачные. Я с Егором согласен что слово VPN не панацея (в частности как Егор высказался в плане рртр), но и чистый проброс портов не выход.

    Для решения подобных задач применяются различные ухишрения для отсеивания различных пассажиров, как то второй фактор (который каюсь упустил из виду полностью), защищенные реализации VPN (различные сиски ениконект и пр.), Direct access и пр.


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Vector BCOModerator 8 апреля 2018 г. 12:43
    17 марта 2018 г. 22:37
    Модератор
  • Егор, а вот в соседней теме, если я верно Вас понял, Вы сказали, что никогда не сделали бы VPN и из двух зол, выбрали бы RDP. В то время, когда Vector BCO приводил из другой темы примеры, почему плох просто проброс портов на rdp и советовал VPN.

    Так как же всё грамотно сделать ? Как и Вы писали, флэшка, сертификат или еще что?)


    Для начала задайте себе вопрос от чего вы хотите защититься. Вы ведь не выходите на улицу с ружьем, пытаясь защититься от мороза и не станете прикрываться зимним пуховиком, когда в вас стреляют из огнестрела? Для разных угроз - разные инструменты.

    Я бы не стал рисковать с vpn каким бы он ни был надежным по причине того, что с ним мы запускаем в локалку непонятно что. Как минимум надо продумать политики допуска в локалку (мб только доменные ПК).

    Если защита целостности периметра сети вам не актуальна, используйте vpn

    • Помечено в качестве ответа Vector BCOModerator 8 апреля 2018 г. 12:42
    19 марта 2018 г. 7:48

Все ответы

  • Если ктоугодно может пробовать к вам подключится - это не безопасно, так как боты обязательно попробуют.

    ограничить всех до необходимых можно многими методами, среди которых firewall (можете разрешить подключение с определенных адресов),  настройкой авторизации клиентов (проверка машин по сертификату, перед проверкой пользователя), vpn и пр.


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа MikleK 5 апреля 2018 г. 10:18
    17 марта 2018 г. 11:18
    Модератор
  • "Безопасность" само по себе понятие очень абстрактное. Вы для начала задайте себе вопрос от чего вы защищаетесь или хотите защищаться.

    Если от взлома дефолтного рдп-порта, то тогда конечно не безопасно размещать сервер в инете. Но на самом деле это много кто делает, так что тут просто надо все грамотно настроить.

    17 марта 2018 г. 19:19
  • Егор, а вот в соседней теме, если я верно Вас понял, Вы сказали, что никогда не сделали бы VPN и из двух зол, выбрали бы RDP. В то время, когда Vector BCO приводил из другой темы примеры, почему плох просто проброс портов на rdp и советовал VPN.

    Так как же всё грамотно сделать ? Как и Вы писали, флэшка, сертификат или еще что?)


    17 марта 2018 г. 21:45
  • Это вопрос концепций. Нет единоверного решения. Зато есть явно не сильно удачные. Я с Егором согласен что слово VPN не панацея (в частности как Егор высказался в плане рртр), но и чистый проброс портов не выход.

    Для решения подобных задач применяются различные ухишрения для отсеивания различных пассажиров, как то второй фактор (который каюсь упустил из виду полностью), защищенные реализации VPN (различные сиски ениконект и пр.), Direct access и пр.


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Vector BCOModerator 8 апреля 2018 г. 12:43
    17 марта 2018 г. 22:37
    Модератор
  • Егор, а вот в соседней теме, если я верно Вас понял, Вы сказали, что никогда не сделали бы VPN и из двух зол, выбрали бы RDP. В то время, когда Vector BCO приводил из другой темы примеры, почему плох просто проброс портов на rdp и советовал VPN.

    Так как же всё грамотно сделать ? Как и Вы писали, флэшка, сертификат или еще что?)


    Для начала задайте себе вопрос от чего вы хотите защититься. Вы ведь не выходите на улицу с ружьем, пытаясь защититься от мороза и не станете прикрываться зимним пуховиком, когда в вас стреляют из огнестрела? Для разных угроз - разные инструменты.

    Я бы не стал рисковать с vpn каким бы он ни был надежным по причине того, что с ним мы запускаем в локалку непонятно что. Как минимум надо продумать политики допуска в локалку (мб только доменные ПК).

    Если защита целостности периметра сети вам не актуальна, используйте vpn

    • Помечено в качестве ответа Vector BCOModerator 8 апреля 2018 г. 12:42
    19 марта 2018 г. 7:48