如題,安全稽核發現欲非法登入之紀錄及IP,伺服器 OS 是 Windows Server 2008 R2 做為 ERP Server 用途。其架設在 Multi-Homing Gateway(MHG) 後面的區網內,由虛擬伺服器對應 3389 Port 來連線做業。
用 'WHO IS' 查出來是自對岸的IP,對方不斷嘗試以TS-RDP連線。請問該如何因應?
又IP可以舉報嗎?
PS. 是否關閉外網以3389埠連入,改用VPN(目前MHG內未設定啟用)?
已邀請的邦友 {{ invite_list.length }}/5
可舉發
但不見得有用
你可以Ban IP address
改listen port
限定可連線IP
設跳板主機
加VPN通道
加強管控RDP user account/password
等等多樣化增加安全性的手法
舉發可以 但是後續會讓人失望
遠端桌面連線 更改為其他port
更甚者不要開放
改利用vpn方式連線再搭配憑證加密
沒有安裝憑證的主機就拒絕
更可杜絕掉許多問題
Track them, Find them, Kill them ....
Two tier firewalls (Cisco ASA + Juniper. Or Vyatta + Pfsense)
vpn concentrator (Vyatta IPSec)
2 Factor authentication (RSA with Cisco ASA)
請先確認公司內部有哪些資安設備,例如可以透過防火牆制定相關來源ip來存取目的ip,包括限制連接protocol & service,一般不建議將ERP對外服務,所以可以利用VPN+憑證+使用者+密碼+(防火牆基本功能)做到較完整安全防護及存取.
iThome鐵人賽
看影片追技術