iT邦幫忙

0

伺服器的安全稽核發現欲非法登入應如何處理?

csyu 2012-10-08 19:26:596927 瀏覽

如題,安全稽核發現欲非法登入之紀錄及IP,伺服器 OS 是 Windows Server 2008 R2 做為 ERP Server 用途。其架設在 Multi-Homing Gateway(MHG) 後面的區網內,由虛擬伺服器對應 3389 Port 來連線做業。

用 'WHO IS' 查出來是自對岸的IP,對方不斷嘗試以TS-RDP連線。請問該如何因應?
又IP可以舉報嗎?

PS. 是否關閉外網以3389埠連入,改用VPN(目前MHG內未設定啟用)?

2
u8526425
iT邦大師 1 級 ‧ 2012-10-08 19:44:42
最佳解答

可舉發
但不見得有用
你可以Ban IP address
改listen port
限定可連線IP
設跳板主機
加VPN通道
加強管控RDP user account/password
等等多樣化增加安全性的手法

4
jazozazo
iT邦高手 1 級 ‧ 2012-10-08 20:51:30

舉發可以 但是後續會讓人失望
遠端桌面連線 更改為其他port
更甚者不要開放
改利用vpn方式連線再搭配憑證加密
沒有安裝憑證的主機就拒絕
更可杜絕掉許多問題

jazozazo提到:
沒有安裝憑證的主機就拒絕

願聞其詳,請問怎麼做?

csyu iT邦高手 1 級 ‧ 2012-10-30 10:00:19 檢舉

我也想了解一下如何安裝憑證。

2
wiseguy
iT邦超人 1 級 ‧ 2012-10-08 23:51:15

Track them, Find them, Kill them ....

Yes

csyu iT邦高手 1 級 ‧ 2012-10-30 09:57:09 檢舉

I can't afford to pay a price to hire this guy.

4
insider
iT邦研究生 5 級 ‧ 2012-10-14 03:41:28

Two tier firewalls (Cisco ASA + Juniper. Or Vyatta + Pfsense)
vpn concentrator (Vyatta IPSec)
2 Factor authentication (RSA with Cisco ASA)

2
tonynec
iT邦新手 5 級 ‧ 2012-11-13 14:08:54

請先確認公司內部有哪些資安設備,例如可以透過防火牆制定相關來源ip來存取目的ip,包括限制連接protocol & service,一般不建議將ERP對外服務,所以可以利用VPN+憑證+使用者+密碼+(防火牆基本功能)做到較完整安全防護及存取.

yes
可以參考台廠的網路身分認證防火牆管理系統設備

我要發表回答

立即登入回答