В современном мире удаленная работа стала неотъемлемой частью нашей жизни. Для многих компаний, особенно тех, кто использует системы 1С, критически важно обеспечить безопасный, стабильный и удобный удаленный доступ к корпоративным ресурсам. Мы с вами разберем различные подходы к организации такого доступа, проанализируем их преимущества и недостатки, а также рассмотрим важные аспекты безопасности, чтобы вы могли выбрать оптимальное решение для своей инфраструктуры.
Для начала, давайте выясним, какие существуют основные методы организации удаленной работы и как их правильно применять.
Прямое подключение по RDP и использование белого IP-адреса
Первый вариант, который часто приходит на ум при необходимости удаленного доступа – это прямое подключение по протоколу
RDP
(Remote Desktop Protocol) с использованием белого IP-адреса. Мы можем настроить наш маршрутизатор таким образом, чтобы он пробрасывал стандартный или измененный порт
RDP
напрямую в интернет.
Важно понимать: хотя это кажется простым решением, прямое подключение по
RDP
с открытым портом в интернет без дополнительных мер безопасности крайне не рекомендуется. Злоумышленники активно сканируют интернет на наличие открытых портов
RDP
для атак методом перебора паролей (брутфорс). Это может привести к серьезным последствиям: утечке конфиденциальной информации, потере данных (например, из-за вирусов-шифровальщиков) и даже компрометации всей локальной сети. Смена стандартного порта
RDP
(3389) на нестандартный может лишь незначительно снизить частоту обнаружения автоматическими сканерами, но не является полноценной мерой защиты, так как порт может быть обнаружен другими методами.
Шлюз удаленных рабочих столов (RDP Gateway)
Одним из наиболее безопасных и рекомендованных способов организации удаленного доступа по
RDP
является использование Шлюза удаленных рабочих столов (
RDP Gateway
). Давайте рассмотрим его подробнее.
Принцип работы
RDP Gateway
заключается в том, что он инкапсулирует
RDP
-трафик внутри протокола
HTTPS
(TCP/443). Это позволяет ему проходить через большинство брандмауэров и прокси-серверов, маскируя
RDP
-соединение под обычный веб-трафик. Наружу выставляется не сам
RDP
, а именно шлюз, подключения к которому идут по
HTTPS
. Уже после шлюза, в периметре внутренней сети, к терминальному серверу идет обычное
RDP
-соединение.
Преимущества RDP Gateway:
Улучшенная безопасность: Трафик передается по
HTTPS
, обеспечивая шифрование и защиту данных.
Обход брандмауэров: Использует стандартный порт 443, который обычно открыт в большинстве сетей, что упрощает подключение извне.
Централизованное управление: Мы можем централизованно управлять доступом к нескольким серверам
RDP
через единую точку.
Поддержка двухфакторной аутентификации (2FA): Шлюз может быть настроен для использования 2FA, что значительно повышает безопасность, требуя не только пароль, но и дополнительный код подтверждения.
Изоляция: В случае взлома сервера шлюза злоумышленник получает лишь ограниченные права на этом сервере, а не прямой доступ к внутренним серверам.
Сетевая аутентификация уровня (NLA): Включение
NLA
является рекомендованным шагом для усиления безопасности
RDP
, требуя аутентификацию пользователя до установления полной
RDP
-сессии.
Гибкость: К
RDP Gateway
можно подключаться с любого устройства – телефона, планшета, что обеспечивает удобство работы.
Важные аспекты безопасности RDP Gateway:
Своевременные обновления: Крайне важно своевременно обновлять сервер шлюза. Известные уязвимости, такие как
CVE-2020-0609
и
CVE-2020-0610
, были давно исправлены, но требуют установки актуальных патчей.
Проверка подключения по UDP: Если вы используете сервер 2012 или более ранний, следует проверить и, возможно, отключить подключение по
UDP
для
RDP Gateway
, так как в ранних версиях были уязвимости. Для серверов 2016/2019 необходимо убедиться, что установлены все заплатки.
Использование VPN-протоколов
Виртуальные частные сети (
VPN
) предоставляют зашифрованный туннель между вашим рабочим местом и корпоративной сетью, обеспечивая высокий уровень безопасности. Давайте разберем популярные
VPN
-протоколы.
SSTP (Secure Socket Tunneling Protocol)
Протокол
SSTP
был разработан Microsoft и использует каналы
SSL/TLS
через
TCP
-порт 443. Это позволяет ему успешно обходить большинство брандмауэров и сетевых ограничений, маскируя трафик под обычный
HTTPS
.
Преимущества: Предлагает высокий уровень безопасности с 256-битным шифрованием
AES
. Основное преимущество — способность работать через облако, позволяя устанавливать соединение даже при наличии "серых"
IP
-адресов с обеих сторон.
Недостатки: Может иметь более низкую скорость из-за высокого уровня шифрования. Принадлежность Microsoft не всегда позволяет сторонним лицам полностью проверять его на уязвимости.
OpenConnect
OpenConnect
— это открытый аналог протокола
Cisco AnyConnect
. Он также использует протоколы защиты
SSL/TLS
и передает данные через
HTTPS
-трафик (
TCP
/443), что позволяет ему легко проходить через
NAT
и брандмауэры провайдера.
Преимущества: Внешне выглядит как обычное
HTTPS
-подключение, что делает его менее детектируемым. Поддерживает различные методы аутентификации, включая сертификаты
SSL
и токены.
OpenVPN
OpenVPN
широко признан одним из наиболее безопасных и гибких
VPN
-протоколов с открытым исходным кодом. Он использует надежные методы шифрования, такие как
AES-256
.
Преимущества: Обеспечивает защищенный туннель между устройством и сервером, защищая данные от кражи и подделки. Поддерживает сертификатную аутентификацию и позволяет создавать собственный центр сертификации
PKI
. Отличается высокой настраиваемостью и стабильностью в сложных сетевых условиях.
Особенности: Может быть менее быстрым, чем
WireGuard
, но превосходит его в гибкости.
Cisco AnyConnect
Cisco AnyConnect
— это продвинутое корпоративное решение для всесторонней защиты сети, позволяющее пользователям безопасно подключаться из любой точки. Использует протоколы
SSL
(
TLS
и
DTLS
) и
IPsec
.
Преимущества: Включает дополнительные функции, такие как контроль состояния устройств, веб-безопасность и защиту в роуминге. Автоматически подстраивает протокол туннелирования под ограничения сети, используя
DTLS
для оптимизации трафика.
WireGuard
WireGuard
отличается простотой, высокой скоростью и современным криптографическим дизайном. Реализован на основных платформах (
Linux
,
macOS
,
Windows
,
Android
).
Преимущества: Один из самых быстрых и безопасных протоколов благодаря упрощенной архитектуре и современным алгоритмам шифрования.
Особенности: В некоторых случаях пользователи отмечали проблемы со стабильностью
WireGuard
на мобильном интернете, что стоит учитывать при выборе.
IPSec
IPSec
используется в
VPN
для аутентификации и шифрования пакетов, обеспечивая их безопасную передачу. Часто комбинируется с
L2TP
(
L2TP/IPsec
), где
L2TP
создает туннель, а
IPSec
обеспечивает шифрование и безопасность данных.
Преимущества: Поддерживается большинством современных устройств без необходимости установки дополнительного ПО. Часто используется для
site-to-site
подключений, соединяя две географически разнесенные сети.
Port Knocking
Давайте рассмотрим еще один метод повышения безопасности – Port Knocking. Это механизм, при котором доступ к определенным портам брандмауэра открывается только после получения заранее определенной последовательности пакетов на другие, обычно закрытые, порты.
Преимущества:
Создает дополнительный уровень безопасности, скрывая сервисы от атакующих.
Снижает сложность брутфорс-атак, так как злоумышленнику нужно угадать не только пароль, но и последовательность "стуков".
Не требует существенных изменений в сетевой инфраструктуре.
Недостатки:
Зависит от работоспособности и оперативности демона, реализующего
port knocking
.
Большинство реализаций являются
stateful
-системами, требующими начинать последовательность заново при ошибке.
Может быть уязвим к перехвату трафика, если злоумышленник следит за сетью и обнаруживает последовательность.
Создает дополнительные действия для пользователя, что снижает удобство.
Некоторые эксперты считают его устаревшим и предлагают более безопасные альтернативы, такие как
VPN
или прокси-серверы.
SSH-туннелирование
Если у нас возникли проблемы с
VPN
-соединением или мы хотим дополнительно обезопасить
RDP
-трафик, мы можем использовать SSH-туннелирование. Этот метод позволяет безопасно пробрасывать
RDP
-трафик через зашифрованный
SSH
-туннель.
Преимущества:
Высокий уровень безопасности за счет шифрования
RDP
-трафика.
Возможность обхода брандмауэров, которые блокируют прямой
RDP
, инкапсулируя его в разрешенный
SSH
-трафик.
Может быть использован для подключения к
RDP
через промежуточный
SSH
-сервер, если целевой компьютер находится за брандмауэром.
Особенности:
Требует наличия
SSH
-сервера (например,
copSSH
для
Windows
) и клиента (например,
PuTTY
).
Необходимо настроить перенаправление портов на клиенте и сервере.
Соединение между
SSH
- и
RDP
-серверами остается обычным, что важно учитывать при работе с небезопасными протоколами.
Рекомендуется использовать авторизацию по ключу для дополнительной безопасности.
Защита от перебора паролей (RdpGuard и аналоги)
Независимо от выбранного метода, крайне важно обеспечить защиту от атак методом перебора паролей. Для этого существуют специализированные программы, такие как
RdpGuard
,
IPBan
,
Fail2Ban
(и его
Windows
-реализация
win2ban
),
EvlWatcher
,
Cyberarms IDDS
.
Принципы работы:
Мониторинг журналов событий: Эти программы постоянно отслеживают журналы событий на предмет неудачных попыток авторизации к
RDP
(и другим сервисам, таким как
MSSQL
,
FTP
,
SMTP
,
IMAP
,
MySQL
,
VoIP/SIP
,
SSH
).
Автоматическая блокировка: После нескольких неудачных попыток входа (например, 3 попытки за минуту),
IP
-адрес злоумышленника автоматически добавляется в черный список брандмауэра на определенный период (например, сутки) или навсегда.