Securiser une connexion RDP via adresse publique

**Timkeeper** · 28/03/2017, 13h11

Bonjour à tous,

Apres de nombreuses recherche, je ne trouve pas de solution pour sécuriser une connexion RDP a un serveur via une adresse publique sous Windows 2008 R2.

Ces temps ci, j'ai de plus en plus de brutforce (pour le moment tous échoués)

Je ne dispose pas de pare feu matériel et souhaiterai sécuriser les connexion a distance. J'ai trouvé des fiches parlant de sécuriser les connexion via des signatures mais ne comprends pas bien le déploiement. Je pensais a des restriction sur mon parefeu logiciel mais des utilisateurs se déplacent (connexion depuis des hôtels, de téléphones en 3 ou 4G, des prestataires,...). Restriction a l'adresse MAC mais si un prestataire change une carte réseau ou un PC...
Peut être un VPN logiciel ?

Que me conseillez vous ?

Merci d'avance

Cordialement

Timkeeper

**chrtophe** · 28/03/2017, 20h55

oui, VPN.

Invité · 29/03/2017, 08h01

Bon, la première chose à faire est de ne pas ouvrir le 3389/TCP en direct.
Par exemple le 24200 en externe vers le 3389 en interne.

Je me suis posé la même question il y a quelques temps :
- Serveur RDS en DMZ
-Derrière un Pfsense et des VPN Endpoint.

Pour le moment, ça juste marche

**chrtophe** · 29/03/2017, 09h26

Autre sécurité : couper l'accès en dehors des heures d'utilisation (soir et WE par exemple)

**Timkeeper** · 29/03/2017, 11h36

Bonjour à tous

Merci beaucoup pour vos conseils, pour bloquer les accès hors des heures de bureau, pas simple, des utilisateurs se connectent a n'importe quel heure soir, nuit et week end (j'ai un patron insomniaque).

Pouvez vous développer un peu vos conseils car je ne sais pas trop ou et quoi chercher ? (La grosse contrainte est que l'entreprise ne dispose que d'un seul et unique serveur qui fait tout - DNS, Fichier, Domaine, AD, Impression,...) donc l'isoler en DMZ me parait compliqué non ?

Merci d'avance

Invité · 29/03/2017, 14h35

Oui dans ces cas-là, la DMZ est à oubliée.
Pour la modification du port depuis l'exterieur, ça se passe sur ta passerelle.
Là actuellement tu dois avoir une régle de NAT/PAT qui redirige le trafic extérieur à destination du port 3389/TCP vers ton ip interne sur le port 3389/TCP
Pour limiter les risques de bruteforce tu modifies le port externe en par exemple 24200 en lieu et place du 3389/TCP mais tu laisses ton IP interne vers le 3389.

Je sais pas si je me suis bien fait compris ?

Pour la solution VPN, la moins coûteuse : un poste avec une distri PfSense en coupure de réseau et tu créer des VPN endpoint.

Securiser une connexion RDP via adresse publique

Windows

Discussions similaires

Partager

Partager