Как да защитите порта RDP
Тази статия предоставя дълбоко потопяване в осигуряването на вашите RDP портове, персонализирано за технологично подготвения IT професионалист.
We've detected you might be speaking a different language. Do you want to change to:
TSPLUS БЛОГ
Всеки мрежов обект, който разполага с интернет връзка, е под риск от компрометиране. Ето някои от стъпките, които поддържат защитата на мрежите.
Уеб сървъри, FTP и зони на защитната стена
Всеки мрежов обект, който разполага с интернет връзка, е под риск от компрометиране. Ето някои от стъпките, които ще запазят мрежите защитени.
Въпреки че има няколко стъпки, които можете да предприемете, за да защитите своя LAN, единственото истинско решение е да затворите вашия LAN за входящ трафик и да ограничите изходящия трафик.
С казано това, TSplus Advanced Security осигурява отлична обща защита срещу цяла гама кибер заплахи и затваря някои от най-широко отворените врати.
Сега някои услуги като уеб или FTP сървъри изискват входящи връзки. Ако се нуждаете от тези услуги, трябва да обмислите дали е необходимо тези сървъри да бъдат част от LAN, или дали могат да бъдат поставени в физически отделна мрежа, известна като DMZ (или демилитаризирана зона, ако предпочитате нейното правилно име). Идеално е всички сървъри в DMZ да са самостоятелни сървъри, с уникални влизания и пароли за всеки сървър. Ако се нуждаете от резервен сървър за машините в DMZ, трябва да си осигурите отделна машина и да държите резервното решение отделно от резервното решение за LAN.
DMZ-то ще бъде направо от защитната стена, което означава, че има два маршрута в и извън DMZ-то, трафик към и от Интернет и трафик към и от LAN. Трафикът между DMZ-то и вашия LAN би бил третиран напълно отделно от трафика между вашия DMZ и Интернет. Входящият трафик от интернета би бил насочен директно към вашия DMZ.
Затова, ако някой хакер успее да компрометира машина в DMZ, тогава единствената мрежа, до която биха могли да достъпят, би била DMZ. Хакерът би имал малко или никакъв достъп до LAN. Също така би било така, че всяко заразяване с вирус или друго компрометиране на сигурността в LAN нямаше да може да мигрира към DMZ.
За да бъде DMZ ефективна, трябва да поддържате трафика между LAN и DMZ на минимум. В повечето случаи, единственият трафик, необходим между LAN и DMZ, е FTP. Ако нямате физически достъп до сървърите, също ще ви трябва някакъв вид протокол за отдалечено управление като терминални услуги или VNC.
TSplus софтуер е създаден, за да бъде достъпен, прост и сигурен. Киберсигурността отдавна е централна цел за компанията, толкова много, че нашият продукт за киберзащита е развил се до стане всестранен 360° инструмент за сигурност. TSplus Advanced Security е прост и достъпен защитен инструмент, разработен за защита на вашата настройка от зловреден софтуер и рансъмуер, атаки със сила на пароли, злоупотреба с удостоверения... И случайно блокира милиони известни зловредни IP адреси. Той също така учи от стандартните потребителски поведения и можете да добавите в бял списък адреси, които са важни според нуждите.
Ако уеб сървърите ви изискват достъп до сървър за бази данни, тогава трябва да обмислите къде да поставите базата данни. Най-сигурното място за разполагане на сървър за бази данни е да създадете още една физически отделна мрежа, наречена сигурната зона, и да поставите сървъра за бази данни там.
Сигурната зона също е физически отделна мрежа, свързана директно към защитната стена. Сигурната зона по дефиниция е най-сигурното място в мрежата. Единственият достъп до или от сигурната зона би бил връзката към базата данни от DMZ (и LAN, ако е необходимо).
Най-големият дилема, пред който се изправят мрежовите инженери, може да бъде къде да поставят пощенския сървър. Той изисква SMTP връзка към интернет, но също така изисква достъп до домейна от LAN. Ако поставите този сървър в DMZ, трафикът на домейна ще застраши цялостта на DMZ, като го направи просто разширение на LAN. Следователно, според нас, единственото място, където можете да поставите пощенски сървър, е на LAN и да позволите на SMTP трафика към този сървър.
Въпреки това, бихме препоръчали да не позволявате никакъв вид HTTP достъп до този сървър. Ако вашите потребители изискват достъп до своята поща извън мрежата, би било много по-сигурно да разгледате някакъв вид VPN решение. Това би изисквало защитната стена да се справя с VPN връзките. Наистина, VPN сървър базиран на LAN би позволил на VPN трафика да влезе в LAN преди да бъде удостоверен, което никога не е добро нещо.
Относно FTP, каквито и да са изборите ви, важно е всеки от тях да бъде добре планиран и обмислен. Все пак, също така е от съществено значение крайният резултат да има смисъл и да функционира заедно възможно най-сигурно. Без значение дали става въпрос за напреднала сигурност, отдалечен достъп или нещо друго, продуктите на TSplus имат сигурност в своята ДНК. Можете да закупите или да тествате някой от тях от нашите продуктови страници.
Вижте сами функциите, които предлага TSplus Advanced Security. За да изтеглите, кликнете тук . Инсталирането отнема само моменти и нашето софтуер е наличен безплатно за 15-дневен пробен период.
Прости, надеждни и достъпни решения за отдалечен достъп за ИТ професионалисти.
Най-добрият инструментариум за по-добро обслужване на вашите клиенти на Microsoft RDS.
Свържете сеПрисъединете се към над 500 000 бизнеса
Ние сме оценени. Отлично
4.8 от 5