সরকারী মুখোমুখি দূরবর্তী ডেস্কটপ সার্ভারকে কীভাবে সুরক্ষিত করবেন?

16

আমি আমাদের নেটওয়ার্কের বাইরে থেকে অ্যাক্সেস করার জন্য আমার দূরবর্তী ডেস্কটপ সার্ভার (টার্মিনাল পরিষেবাদি) উন্মুক্ত করার প্রয়োজনের দিকে তাকিয়ে আছি। এখনই, এটি কেবলমাত্র আমাদের নেটওয়ার্কের অভ্যন্তর থেকে অ্যাক্সেস করা যায়।

আমি জানি ফায়ারওয়ালটি খুলতে এবং বন্দরটি ফরোয়ার্ড করা যথেষ্ট সহজ।

যাইহোক, আমি কীভাবে নিজেই মেশিনটিকে নিরাপদ করব এবং এর চারপাশের সেরা অনুশীলনগুলি কী? আমার উদ্বেগ হ্যাকাররা এতে প্রবেশ করতে কাজ করতে সক্ষম হচ্ছে।

যে কোনও সেরা অনুশীলনের গাইডলাইন / সুপারিশগুলি প্রশংসিত হবে।

সম্পাদনা:

আমি পাওয়া একটি পণ্য সম্পর্কে প্রশ্ন:

আইপি, ম্যাক ঠিকানা, কম্পিউটারের নাম এবং আরও কিছু দ্বারা ফিল্টার ইনকামিং আরডিপি সংযোগগুলি

এর সুরক্ষা নিয়ে কি কেউ মন্তব্য করতে পারবেন? দেখে মনে হচ্ছে যে আমি মেশিনের নাম / ম্যাকের মাধ্যমে অ্যাক্সেস সীমাবদ্ধ করতে এটি ব্যবহার করতে পারি? অন্য কেউ এটি ব্যবহার করেছেন?

security  remote-desktop 
me2011
সূত্র
1
আমি মনে করি আপনি কেবল এই মেশিনটিকে কীভাবে সুরক্ষিত করবেন এবং এর সাথে কোনও আরডিপি সংযোগ কীভাবে তা জিজ্ঞাসা করছেন না, তবে কীভাবে আপনার নেটওয়ার্কের বাকী অংশে ঝুঁকি হ্রাস করবেন কীভাবে এটি আপস করা উচিত। এটা কি সঠিক?
dunxd
হ্যাঁ ঠিক আছে, আমরা কতটা ছোট, একমাত্র আরডিপি সার্ভারের কারণে এটি অভ্যন্তরীণ ব্যবহারকারীদের জন্য সম্পূর্ণ ডেস্কটপ অ্যাক্সেস / নেটওয়ার্ক সংস্থান প্রয়োজন।
me2011

উত্তর:

14

এটি আপনি যা করতে চেয়েছেন তার চেয়ে বেশি হতে পারে তবে আমরা ভিপিএন ব্যবহার না করে এমন প্রত্যন্ত ব্যবহারকারীদের জন্য কীভাবে আরডিপি ব্যবহার করি তা এখানে।

আমরা সম্প্রতি আরডি গেটওয়ে ম্যানেজারটি রিমোট ডেস্কটপ পরিষেবাগুলির সাথে উইন্ডোজ ২০০৮ এর ভূমিকা সহ ব্যবহার করা শুরু করেছি our আমাদের টিএমজি সার্ভারের মাধ্যমে এবং সরাসরি কোনও ব্যবহারকারী মেশিনে যাওয়ার জন্য আমাদের এটি সেটআপ রয়েছে। এটি উপরে উল্লিখিত হিসাবে এনএলএ ব্যবহার করে। সংযুক্ত ব্যবহারকারীকে ডান এডি গ্রুপের সদস্য এবং ডান স্থানীয় গ্রুপের সদস্য হতে হবে অ্যাক্সেসের অনুমতি দেওয়া। আপনি এটি কীভাবে সেটআপ করতে চান তার উপর নির্ভর করে আপনি এমন একটি ওয়েবপৃষ্ঠার মাধ্যমে সংযোগ করতে পারবেন যা মূলত এমএসএসসি খুলবে এবং আরডি গেটওয়ের জন্য প্রক্সি সেটিংটি ইনপুট করে বা আপনি নিজেই আপনার মেশিনে সেটিংস সেট করতে পারেন যাতে আপনি যখনই এটি খুলবেন তখন চেষ্টা করবেন যে প্রক্সি মাধ্যমে। এখনও অবধি এটি বেশ ভালভাবে কাজ করেছে এবং মনে হয় এটি নিরাপদ।

ডন
সূত্র
3
এই জন্য +1। আমি দুর্দান্ত সাফল্যের সাথে আরডি গেটওয়েও ব্যবহার করি এবং এটি কাজ করার জন্য আপনার কেবল 443 পোর্ট ইন্টারনেটে উন্মুক্ত করতে হবে। আরডি গেটওয়ে কয়েক সপ্তাহ আগে যে এমডি 12-020 বাগের জন্য আরডিপিকে হুমকী দিয়েছিল তার পক্ষে সংবেদনশীল ছিল না।
রায়ান রেইস
+1 সরাসরি আরডিপি অপেক্ষা আরডি গেটওয়েতে আক্রমণকারী প্রচুর পরিমাণে বটও রয়েছে।
গ্রান্ট
8

সাম্প্রতিক ইতিহাস যেমন আমাদের দেখিয়েছে, প্রোটোকল উন্মোচনের সহজাত ঝুঁকি রয়েছে। তবে, সিস্টেমটি সুরক্ষার জন্য আপনি নিতে পারেন এমন কিছু পদক্ষেপ রয়েছে:

  • নেটওয়ার্ক স্তরের প্রমাণীকরণ প্রয়োগ করুন।
  • সংযোগ এনক্রিপশন প্রয়োগ করুন।
  • ব্যবহারকারীদের টার্মিনাল পরিষেবাদিগুলিতে নিখুঁত সর্বনিম্নে লগ ইন করার জন্য সীমাবদ্ধ রাখুন এবং ডিফল্ট ডোমেন Administratorঅ্যাকাউন্টের মতো "বিশেষ" অ্যাকাউন্টগুলিতে বা আদর্শভাবে কোনও উচ্চতর সুবিধার অ্যাকাউন্টগুলিতে মঞ্জুরি দেবেন না ।
  • লগ ইন করার অনুমতিপ্রাপ্ত অ্যাকাউন্টগুলিতে পাসওয়ার্ডগুলি শক্তিশালী রয়েছে তা নিশ্চিত করুন how এখন আপনার নীতিগুলি কতজন ব্যবহারকারী এবং কীভাবে দেখায় তার উপর নির্ভর করে তবে হ্যাশগুলি ফেলে দেওয়া এবং সেগুলি ফাটানোর চেষ্টা করা, পাসওয়ার্ডের দৈর্ঘ্যের সীমাটি বাড়িয়ে দেওয়া, বা কেবল ব্যবহারকারীদের শিক্ষিত করা ভাল পন্থা।
শেন ম্যাডেন
সূত্র
6

আমি দৃ strongly়ভাবে দূরবর্তী ডেস্কটপ গেটওয়ে পরিষেবাটি ব্যবহার করার পরামর্শ দিচ্ছি। এটি আপনাকে এমন জায়গা দেয় যেখানে আপনি কোথা থেকে কারা সংযোগ করতে পারবেন সে সম্পর্কে নীতিমালা প্রয়োগ করতে পারবেন। এটি আপনাকে লগিংয়ের জন্য একটি ভাল জায়গা দেয়, যাতে আপনি দেখতে পারেন যে আপনার ফার্মের পৃথক সার্ভারগুলির ইভেন্ট লগগুলি পরীক্ষা না করে লগইন করার চেষ্টা করছেন।

আপনি যদি ইতিমধ্যে এটি না করে থাকেন তবে নিশ্চিত হয়ে নিন যে আপনার অ্যাকাউন্ট লকআউট নীতিগুলি বেশ শক্তিশালী সেট করা আছে। এমনকি এনএলএ এবং একটি গেটওয়ে সহ আরডিপি লোকেদের পাসওয়ার্ড জোর করার চেষ্টা করার জন্য কিছু দেয়। একটি শক্তিশালী লকআউট নীতি বৃহত্তর শক্তির প্রচেষ্টা সাফল্যের পক্ষে এটি খুব জটিল করে তোলে।

সিস্টেমে বৈধ এসএসএল শংসাপত্রগুলি সেটআপ করুন, সুতরাং যদি কেউ কোনওরকম এমআইটিএম আক্রমণ চালানোর চেষ্টা করে তবে ক্লায়েন্ট শেষ ব্যবহারকারীদের অবহিত করবে।

Zoredache
সূত্র
3

এটি খুব সুরক্ষিত নয়, যাইহোক, সুরক্ষা জোরদার করার কয়েকটি উপায় রয়েছে।

সেই সার্ভারটি থেকে ইন্টারনেট অ্যাক্সেসকে বাতিল করুন। অনেক গুরুতর ম্যালওয়ার যখন এটি আপনার সিস্টেমে আপস করে তখন তাদের কমান্ড এবং নিয়ন্ত্রণ সার্ভারে আবার যোগাযোগ করার চেষ্টা করে। ডিফল্টরূপে আউটবাউন্ড অ্যাক্সেস নিষিদ্ধ করতে ফায়ারওয়াল অ্যাক্সেস নিয়মটি কনফিগার করা এবং কেবল অভ্যন্তরীণ / জ্ঞাত নেটওয়ার্ক এবং আরএফসি 1928 সাবনেটগুলিতে আউটবাউন্ড অ্যাক্সেসের অনুমতি দেওয়ার একটি বিধি ঝুঁকি হ্রাস করতে পারে।

স্মার্ট কার্ড বা অন্য কোনও ধরণের দ্বি-গুণক প্রমাণীকরণ ব্যবহার করুন। এটি সাধারণত ব্যয়বহুল এবং মূলত বড় সংস্থাগুলিতে পাওয়া যায়, তবে বিকল্পগুলি উন্নতি করছে (ফোনফ্যাক্টর মনে আসে)। নোট করুন যে অ্যাকাউন্ট স্তরে এটি কনফিগার করার বিকল্প হিসাবে স্মার্ট কার্ডগুলির প্রয়োজন প্রতি সার্ভারে করা যেতে পারে।

একটি পরিধি নেটওয়ার্ক কনফিগার করুন, ঘেরটিতে দূরবর্তী ডেস্কটপ সার্ভারটি রাখুন এবং অ্যাক্সেস সরবরাহ করতে একটি সস্তা ভিপিএন ব্যবহার করুন। হামাচি হ'ল একটি উদাহরণ। নোট করুন যে কোনও পেরিমিটার নেটওয়ার্ক থেকে ইন্টারনেট অ্যাক্সেসকে অস্বীকার করাও একটি ভাল অনুশীলন।

যদি সম্ভব হয় তবে একটি পূর্ণ ডেস্কটপ সরবরাহ করবেন না, তবে প্রয়োজনীয় অ্যাপ্লিকেশনগুলি প্রকাশ করুন। কারও যদি কেবল একটি একক অ্যাপ্লিকেশনে অ্যাক্সেসের প্রয়োজন হয় তবে এটি একটি "প্রাথমিক প্রোগ্রাম" কনফিগার করাও সম্ভব, যা অ্যাপলিকেশন বন্ধ হয়ে গেলে একটি সহজ মোড়কের শেল হতে পারে যা একটি লগঅফ প্রয়োগ করতে পারে।

গ্রেগ অ্যাস্কিউ
সূত্র
1

আমি নিম্নলিখিত পদক্ষেপের পরামর্শ দেব:

  1. দূরবর্তী ডেস্কটপ সংযোগের জন্য ব্যবহৃত বন্দরটি পরিবর্তন করুন
  2. জেনেরিক ব্যবহারকারীর নাম ব্যবহার না করে আরও জটিল নামকরণ নীতি ব্যবহার করুন
  3. উচ্চ পাসওয়ার্ডের প্রয়োজনীয়তা
  4. বাইরে থেকে অন্য কোনও অব্যবহৃত পোর্ট বন্ধ করুন (অভ্যন্তরীণ)

ঐচ্ছিক

  1. একটি ভিপিএন (সিআইএসসিও, ওপেন ভিপিএন ইত্যাদি) ব্যবহার করুন তারপরে অভ্যন্তরীণ আইপি ব্যবহার করে সার্ভারের সাথে সংযুক্ত করুন।
  2. সম্ভব হলে স্মার্ট কার্ড লগ অন করুন
অ্যালেক্স এইচ
সূত্র
আমি ফায়ারওয়ালে পোর্টটি পরিবর্তন করতে চাই, সার্ভারে নয় (সার্ভারে এটি করার জন্য রেজিস্ট্রিতে পরিবর্তন দরকার)। রাউটারে পোর্ট ফরোয়ার্ড সেটআপ করা সাধারণত নিরাপদ এবং নিরাপদ (কোনও রেজিস্ট্রি স্পর্শ করে না)।
দ্যপ্রো
হ্যাঁ :), আমি কেবল বলেছি যে কিছু লোকের ব্যবহারকারীর পোর্ট ফরওয়ার্ডিংয়ের অ্যাক্সেস বা জ্ঞান নেই। যদিও প্রয়োজনীয় না হলে রেজিস্ট্রি পরিবর্তন না করার পরামর্শ দেওয়া হলেও আমার কোনও সমস্যা হয়নি। আপনি যদি ইতিমধ্যে ব্যবহৃত পোর্টটিতে পরিবর্তন করেন তবে কেবলমাত্র আপনিই মুখোমুখি হবেন।
অ্যালেক্স এইচ
হ্যাঁ, আমি বলতে চাইছি এটি বিশ্বের বৃহত্তম চুক্তি নয়, এবং যে কেউ রিজেডিট জানে সে সম্ভবত যত্নবান হওয়ার পক্ষে যথেষ্ট স্মার্ট .... তবে আপনি এটি জানতে পারবেন না। :)
দ্যপ্রো
1

আপনি উইন্ডোএসএইচডি 22 পোর্টে চালাতে পারেন এবং তারপরে আপনার জন্য একটি টানেল তৈরি করতে টানেলিয়র ক্লায়েন্টটি ব্যবহার করতে পারেন এবং এক ক্লিকে টানেল দিয়ে স্বয়ংক্রিয়ভাবে একটি টার্মিনাল পরিষেবাদি সেশনটি খুলতে পারেন। এটি আপনাকে ফাইল স্থানান্তর করার জন্য খুব সুন্দর সুরক্ষিত এফটিপি বিকল্প দেয়।

djangofan
সূত্র
1

আমি এই জিনিসগুলির জন্য ssh পোর্ট ফরওয়ার্ডিং ব্যবহার করি এবং কেবলমাত্র ব্যবহারকারী স্তর, সর্বজনীন কী ভিত্তিক প্রমাণীকরণের অনুমতি দেয়। সমস্ত ব্যবহারকারীর ব্যক্তিগত কীগুলি পাশাপাশি এনক্রিপ্ট করা উচিত। উইন্ডোজ পুট্টি এটি ভালভাবে কাজ করে এবং ব্যবহারকারীগণের পক্ষে কী কী লোড করা সহজ হয় page আপনি যদি ডিফল্টরূপে ssh থাকা কোনও লিনাক্স / BSD সার্ভারগুলি চালনা না করেন তবে এটি করতে আপনি সাইগউইনে ওপেনএসএসএইচ ব্যবহার করতে পারেন।

আমি স্থানীয় ফায়ারওয়ালগুলিকে ব্লক করা জিনিসগুলির সাথে একটি ডেডিকেটেড রিমোট শেল সার্ভারের প্রস্তাব দিচ্ছি যা আপনি লোকেরা রিমোট করতে চান না, যেহেতু এসএসএইচ-এ পোর্ট ফরওয়ার্ডিং মূলত আপনার ইচ্ছামত ব্যবহারকারীদের জন্য কোনও অভ্যন্তরীণ সার্ভার / পোর্ট খোলা হচ্ছে।

জন জোব্রিস্ট
সূত্র
1

বিটভিজ এসএসএইচ উইন্ডোজের জন্য একটি ভাল ফ্রি এসএসএইচ।

নৈমিত্তিক ব্যবহারের চেয়ে আরও বেশি কিছু পাওয়ার জন্য আমি ক্লায়েন্ট থেকে ইন্টারনেট গেটওয়ে পেরিমেটারে সস্তা এসএসএল ভিপিএন সমাপ্তির জন্য যাব (উদাহরণস্বরূপ বাণিজ্যিক অনাস্থা)।

আরডিপি সুরক্ষার বিষয়ে উপরের পোস্টগুলিও একটি ভাল অনুশীলন এবং আপনি যদি কম্পিউটারগুলি ফ্রিলোইডারগুলির সাথে ভাগ করতে চান না তবে সর্বদা করা উচিত।

ইচ্ছাশক্তি
সূত্র
0

সত্যিই সেরা অনুশীলন নয় তবে কিছু এলোমেলো চিন্তা:

  • আপনার সিস্টেমকে আপডেট রাখুন - স্বয়ংক্রিয় আপডেটের অনুমতি দিন, জীবনের শেষ পণ্যগুলি ব্যবহার করবেন না,
  • সমস্ত সিস্টেম অ্যাকাউন্টের জন্য দীর্ঘ / জটিল পাসওয়ার্ড ব্যবহার করুন
  • 'অস্পষ্টতার মাধ্যমে সুরক্ষা' দেওয়ার পরামর্শ দেওয়ার জন্য আমি এখানে বদনাম করব তবে আপনি কোনও ক্ষতি করবেন না যদি আপনি:
    • ডিফল্ট 3389 / টিসিপি পোর্টটি 26438 / টিসিপি এর মতো অন্য কিছুতে পরিবর্তন করুন
    • যোগ পোর্ট-ঠক্ঠক্ শব্দ [সম্ভব হলে] ফায়ারওয়াল স্তরের উপর যাতে সম্ভাব্য RDP ব্যবহারকারী প্রথম হয়েছে কিছু ওয়েব পৃষ্ঠা পরিদর্শন করার এবং শুধুমাত্র তারপর আপনার সার্ভারে RDP পারবেন না।
pQd
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.