הפעלת תוכנה בענן
-
@שמואל4 אמר בהפעלת תוכנה בענן:
אני אישית יש לי שרת ווינדוס ואני ממליץ מאד בתור הדבר הראשון לבטל את גישה הRDP הישירה ולהשתמש עם SSH+הפניית פורטים+לשנות את הפורט של הSSH לחיבור ועוד יותר טוב חיבור עם מפתח ולבטל את הסיסמה.
SSH בשרת ווינדוס?
אתה בטוח?
בכל מקרה הוא חייב את הRDP, כי רק ככה הוא יוכל לגשת לתוכנות שלוכמובן שצריך לשנות את הפורט של RDP, ולאפשר גישה רק לכתובות לבנות + מוניטור + אימות כפול בכניסה
-
@clickone אמר בהפעלת תוכנה בענן:
SSH בשרת ווינדוס?
כן.
https://www.bitvise.com/ssh-server-download
תוכנה מעולה עולה כסף אבל לי יש סריאל...@clickone אמר בהפעלת תוכנה בענן:
בכל מקרה הוא חייב את הRDP, כי רק ככה הוא יוכל לגשת לתוכנות שלו
בוודאי, אתה משתמש בחיבור הSSH להפניית פורטים, וסוגר את 3389 חיצונית, אבל דרך הSSH את מפנה אותו לפורט פנימי במחשב שלך.
אני חושב שזה הכי פשוט וגם יש לך לוג של חיבורים ונסיונות חיבור וכו'@clickone אמר בהפעלת תוכנה בענן:
ולאפשר גישה רק לכתובות לבנות + מוניטור + אימות כפול בכניסה
יש את זה מובנה בווינדוס?
-
@שמואל4 אמר בהפעלת תוכנה בענן:
בוודאי, אתה משתמש בחיבור הSSH להפניית פורטים, וסוגר את 3389 חיצונית, אבל דרך הSSH את מפנה אותו לפורט פנימי במחשב שלך.
יש את זה מובנה בפירוול של ווינדוס, בנוסף אתה יכול לשנות ישירות את הפורט של RDP
@שמואל4 אמר בהפעלת תוכנה בענן:
וגם יש לך לוג של חיבורים ונסיונות חיבור וכו'
גם את זה יש ביומן האירועים של וינדוס, ובמיוחד אם אתה משתמש בכלי fail2ban
כתובת לבנות זה מובנה בפיירוול של ווינדוס, מוניטור יש כלים חיצוניים בחינם / תשלום, וגם מובנה ביומן האירועים, אימות כפול יש כתוספות חיצוניות בתשלום בדר"כ, או טריקים -
@שמואל4 אמר בהפעלת תוכנה בענן:
https://www.bitvise.com/ssh-server-download
תוכנה מעולה עולה כסף אבל לי יש סריאל...תודה
מעניין לבדוק אותה, יכול להיות שהיא יכולה בהחלט להיות כשכבת אבטחה נוספת.
המחיר שלה סביר בעיני גם לרכישה.
אני אבדוק אותה ונראה -
@clickone לאחרונה יש sshd של openssh מובנה בווינדוס. וגם לפני זה היה אפשר על ידי cygwin וכו'
-
-
-
-
@yossiz אמר בהפעלת תוכנה בענן:
@clickone אמר בהפעלת תוכנה בענן:
גם את זה יש ביומן האירועים של וינדוס, ובמיוחד אם אתה משתמש בכלי fail2ban
התכוונתי לכלים מסוג fail2ban
וwail2ban בינהם
יש שם גם את
rdp defender
ואת
rds knight
ועוד..... -
@yossiz אמר בהפעלת תוכנה בענן:
@clickone כנ"ל, משתמשים בזה להפניית פורטים. זה יותר בטוח מחשיפת פורט RDP לאינטרנט (במיוחד לאור כמה חולשות שהתגלו לאחרונה ב-RDP). זה גם מה ש@שמואל4 עושה עם bitvise.
מצד שני, bitvise יכולה גם להכשיל בשרשרת האספקה של האבטחה.
ז"א, בתוך שרשרת האספקה של האבטחה, מספיק שיש חולשה באחד הרכיבים כדי למוטט את השאר, ולכן כמה שיותר שכבות ומוניטורים, כך יותר טוב.
bitvise נחשב כלי לא הכי מוכר, של חברה לא הכי מוכרת, יש לזה יתרון שלא חקרו מספיק את החולשות שלו, ובדיוק זה החיסרון, שהחולשות שלו (שקיימות בכל כלי ) לא ידועות.
תאר לך שהתוקף כן מכיר חולשה, שלא התפרסמה, או שלא מוכרת מספיק, בשביל שפשוט זה יעבור מתחת לרדאר.
אני לא ממעיט בחשיבות של השכבה הזו, השאלה אם זו רק הפנייה פשוטה, בלי שכבה ממשית (כמו הזדהות עם מפתח אבטחה) אז זה קיים כבר בחומת האש, ואין עניין להוסיף תוכנה ממקור לא הכי מכר שסה"כ מוסיפה את הכלל הרלוונטי לחומת האש.
כמובן שאם זה אחרת אז בוודאי שיש לשקול את השכבה הז או שכבה דומהסליחה על האריכות
-
-
-
-
-
