Настройка безопасного rdp доступа к рабочей машине?

Тимвьювер годен для разовой работы но не для постоянной, и уж точно не годен для сёрфинга в интернете через него..

arturos: Не увидел каких либо доводов.
При нормальном канале, ТМ работает более чем адекватно.

script88: Я ежедневно в ТМ сижу более 4х часов (и канал интернета у меня отличный), потому могу с уверенностью сказать о нём.

Соглашусь с этим, неплохое решение, но частично.

Это не защищает никак от MiM и прочих атак между VDS и домом.

arturos: О какого рода атаках Вы говорите в данном случае, я не понимаю.
1) Я устанавливаю vpn соединение через openvpn c openvpn acess server например в США или Европе (естественно VDS должен быть там и на нём поднят ацесс сервер)
2) С этого момента я не подвержен никаким атакам "человек по середине" , так как весь трафик уже шифруется.
3) Я соединяюсь со своим сервером по RDP уже с новым Ip адресом, который прописан в файрволе как единственный разрешенный к соединению, все остальные соединения рубятся файрволом.
По-моему, схема надёжная и безопасная как 5 пальцев.
И да.. чтобы не заморачиваться каждый раз , находясь внутри локальной сети у себя, я настроил второй ярлык для RDP в котором указан локальный адрес подключения для сервера.

имхо, не панацея. Обычным nmap'ом узнается что это за порт.
Сертификаты — надежнее, но я сам не пробовал использовать самоподписанные.

тогда ipfw ип доступа + mac

Какой мак при подключении через интернет? Дальше ближайшего маршрутизатора его не видно.

Замена порта никак не влияет на безопасность. Хотя снижает активность ботов которые регулярно долбят запросами, пытаясь сбрутить пароль.
В общем менять порт есть смысл только если у вас там логин Admin и пароль Admin

Согласен. Это не влияет на защиту. Это может быть только лишь защитой от тупого поиска порта 3389. Но нацеленный скан - покажет его быстро. И уж тем более не защищает от MiM

не вижу проблемы настроить VPN клиент. Какая разница, настраивать VPN клиент или PorntKnoking?
Плюс VPN в том, что вы получаете доступ во всю сеть и сервисы, а не только к RPD.
Portknoking менее безопасен. После открытия на него точно также может подключиться любой. Его можно забыть закрыть и т.д.

Эммм.
PorntKnoking — делается на сервере — 1 раз,
bat-скрипт — делается тоже 1 раз.

VPN-клиент — на каждой машине.

Это конечно хорошо, если пользователь это умеет делать сам, а если нет?
Я имел в виду, что это можно автоматизировать — и пользователю нужно
1. распаковать.
2. запустить с ярлыка

Я понимаю, что VPN надежнее, после открытия порта — на него может подключиться любой и т.д. Я это рассматриваю со стороны более простой настройки у пользователя, который не сильно понимает что к чему.

Настроить VPN-подключение можно 1 раз, сохранить настройки в 1 файл, и дальше файлик этот раздавать кому надо. Кто надо только пароль с логином ведёт и попадёт куда надо.
Разумеется, если дело про винду.

Спасибо, посмотрю этот продукт.
Хотел приспособить Rohos Logon Key, он умеет создавать ключевые носители, которые проверяют валидность клиента, но к сожалению по RDP пробрасываются только смарткарты и токены, а для их использования на клиенте нужно ставить драйвера. Хотя можно попробовать rutoken flash. Она определяется без драйверов и на нее можно записать сертификат.

Вы навели меня на мысль

Какой формат имеет предварительный ключ? Не помню, winxp поддерживает ipseс нативно?

тестовый. winxp поддерживает.

При кривых руках уязвим.
Почему у меня 3389 открыт наружу чуть ли не 5 лет, и имея статический внешний ip, нормальное DNS имя, заблокированного стандартного администратора от входа по RDP, логин и 8 значный пароль меня до сих пор не проломали?
ах, да, WinXP, Win7, 2008R2. Все три со всеми доступными обновлениями.

Потому что MS12-020.

Николай, я так понял, что, как вы говорите, «наружу» у вас открыт RDP на ваш сервер terra.mulder.kiev.ua? Могу и ошибаться, много времени не тратил, но…

nmap -sS terra.mulder.kiev.ua
Starting Nmap 6.00 ( nmap.org ) at 2013-05-31 03:06 MSK
Nmap scan report for terra.mulder.kiev.ua (82.144.210.53)
Host is up (0.036s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
85/tcp filtered mit-ml-dev
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
3389/tcp filtered ms-wbt-server

Вы-то правильно приняли меры, чтобы наружу всем не торчало — фильтруете.
У вас даже web-сервер на 85-ом порту не всем доступен. Так все-таки открыт, либо МЭ блочит все подключения к RDP, кроме другого вашего статика, или адреса, которому вы открыли доступ по заявке с сайта? Это кстати подвожу к тому, что если ничего не ограничивает пулять в RDP-сервер извне, то любой скрипт-кидди сможет написать use auxiliary/dos/windows/rdp/ms12_020_maxchannelids где нужно. А завтра, что-нибудь еще. И тут вопрос не в скорости патчевания — они априори реактивны, сналача нашли уязвимость, потом появился патч. Можно ставить все патчи, но вот только они часто появляются после паблика эксплойта.

Атак-серфэйс в прошлом году был большой. Пример. Писались целые бот-сети на скан RDP и захват через него компов по ms12_020.

kirion Всё бы ничего, но Раз Вы нашли мой домашний сервер — Вы бы могли и узнать, что на 85 порту живет демо приложение домашней бухгалтерии, которое я выставил в мир, а заодно то, что ночью по Киеву сервер обычно выключен, поэтому в момент сканирования Вами порты 85 и 3389 были «фильтрованы». Кстати интересный эффект
Остальные порты фильтруются провайдером. http, https и ssh порты на машине тоже, в общем, открыты, но простенький и уже давно EoL маршрутизатор ентерпрайз уровня Вам об этом не скажет.

Штатный аудит и штатные логи системы. аудит на события входа, помоему, но не факт что в аудите