端口映射 3389 到 5 位端口,一直在被爆破,怎么防护可以兼顾安全性跟便捷性?

2023-05-30 12:31:57 +08:00
 cy18

日志管理看了下,24 小时大概有 3 万多条记录。大部分记录都在试 Administrator ,但显然我已经把 Administrator 禁用了。

之所以发现这个问题,是因为中午出去吃个饭,回来就发现账户被锁定无法登陆了。Windows 本地安全策略里面的锁定时间跟尝试次数已经改成 1 分钟 18 次了。虽然可以改大,但感觉改大之后只会让他们提高爆破强度...

有装 Zerotier ,但是有时候 Zerotier 会挂,所以还是保留了公网的端口。

现在的问题有两个,一个是会遇到账户被锁定,等一段时间才能登陆。第二个问题是虽然密码被破的概率不高,但是一直在被爆,总感觉不爽。由于 Windows 密码经常需要手动输入,不可能像一般网站密码搞得那么复杂。密码复杂程度一高,便捷性也就受影响了。万一密码出现在某个字典里,那麻烦就大了。

有没有什么办法可以兼顾安全性跟便捷性?

12174 次点击
所在节点    信息安全
107 条回复
feaul
2023-05-30 21:26:17 +08:00
用 vpn ,WireGuard 最近用的不错,设置只允许 WireGuard 的客户端的地址可以访问。
fox0001
2023-05-30 21:36:41 +08:00
使用 ssh 作为安全网关。要远程桌面时,使用 ssh 登录并代理 3389 端口。
dode
2023-05-30 22:00:54 +08:00
1. RDP 开启白名单,只允许固定 IP 连进来
2. 电脑安装 WireGuard 套起来保护 RDP
3. win10 以上电脑安装 sshd 服务,设置好仅密钥登录,套起来保护 RDP
leloext
2023-05-30 22:03:55 +08:00
vpn 到内网再连,不要在公网上暴露。
BTW:映射到 5 位端口了还被爆破,是不是有点异常?
yagamil
2023-05-30 23:25:51 +08:00
爆就爆呀,换端口,用个奇异的用户名+定期改密码。这样也会锁定吗?
Xbol
2023-05-30 23:34:01 +08:00
之前搞了一个脚本,同一个 ip rdp 登陆几次失败就加防火墙 ip 黑名单。。每天看着黑名单 ip 越来越多有股成就感
germain
2023-05-31 01:36:48 +08:00
3389 有很多 vulnerability 绝对不要放公网
mingl0280
2023-05-31 08:02:10 +08:00
被映射的端口用 iptables 在网关或防火墙上加规则,只允许五分钟内尝试三次,否则就拉永久黑名单。非常有效。
Timk
2023-05-31 08:13:26 +08:00
vpn 连回家最稳了
liansishen
2023-05-31 08:20:11 +08:00
我一开始也是被爆破的没法正常登录,后来直接开启了白名单
客户端 IP 变动了就 rustdesk 连上去加一下白名单,基本上加一次能用好几天,也不算太麻烦了
ChenSino
2023-05-31 08:51:07 +08:00
把外网的那个服务器的端口限制指定 ip 登录
openbsd
2023-05-31 09:16:23 +08:00
遇到同样的问题,虽然密码不怕被爆,但是日志看着难受
有条件的话,关掉端口,前面挡个防火墙开 VPN
改端口没啥用,动态 IP+63726 这种随机端口都每天几万条日志,触目惊心
fbichijing
2023-05-31 09:19:33 +08:00
如果能够设置密钥+密码登录的话,我觉得很难暴力进去吧。

或者你可以配置防火墙加一个 IP 白名单,只是动态 IP 的原因你得不时去更新配置,比较麻烦。当然,你可以通过许多方式去改善这个行为。
yqlian
2023-05-31 09:36:20 +08:00
实测:系统内使用一个特殊的用户名(非 Administrator )+一个简单的密码(短至 6 位)+非标准端口,就足矣了。放在公网上几年都没有出过问题。反而同网一台使用 Administrator 用户+复杂密码+标准端口,被黑客撞击进来了。网络专家说用工具扫描一台机器的几万个端口也就几秒钟。可见端口并不是最有效的阻挡因素,第一步,非 Administrator 的特殊用户名才是最有效的。
ALLENi
2023-05-31 09:41:37 +08:00
我 frp 用非管理员的用户名 加 5 位端口 加 大小写数字符号的密码 稳定一年多 爆破我就不知道了 不会看日志。
huangzhe8263
2023-05-31 10:18:45 +08:00
knock 敲门
额外开一个端口,接受指定 uuid, 若是符合,则记录 ip ,并为该 ip 开启需要端口的权限
设定一个超时时间,超时后关闭该权限

每次访问前先手动访问额外端口,后再进行 rdp 连接
cy18
2023-05-31 10:28:18 +08:00
@huangzhe8263 #56 敲门感觉比较方便,有啥推荐的工具么?
hermanarturo
2023-05-31 10:42:47 +08:00
先把内网 3389 映射到公网高位端口。 然后设置主路由一旦收到公网 3389 端口扫描,就把对方 ip 拉黑。
5200
2023-05-31 10:48:26 +08:00
@hermanarturo #58 拉不完的,之前试过,都拉黑了上百个 IP 。后面放弃了使用 VPN
hermanarturo
2023-05-31 10:53:48 +08:00
@5200 ip ban 一天就够了,目的不是拉黑,是让他们扫描到普通低位端口的时候就 ban 了他们,这样大概率不会发现高位的 3389 ? 我的 blacklist 基本上就是一两百的长度

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/944163

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX