Zabezpečení přístupu na RDP prostřednictvím VPN

Jeden z nejčastějších problémů u Windows serverů je nedostupnost vzdálené plochy. Je to převážně způsobeno vyčerpáním dostupných RDP session, kdy útočník zabere veškeré dostupné (týká se to především serverů s více uživateli) a klient se nedokáže na server připojit. Změna portu pro RDP tento problém řeší částečně, vždy je tu riziko scanu naslouchajících portů. Skutečně funkční řešení je omezení přístupu na konkrétní IP adresy či rozsahy adres, nicméně můžeme narazit na problém, kdy není klientská IP adresa pevná a mění se. Řešením je použití VPN, ať už skrze lokální nebo externí službu.

 

Jako VPN službu využijeme open source utilitu SoftEther: http://www.softether.org/

Soubor nahrajeme na Windows server a spustíme instalátor. Zvolíme variantu SoftEther VPN server, instalaci potvrdíme a necháme nainstalovat virtuální ovladač. Po instalaci spustíme utilitu a klikneme na Connect.

 

 

Zadáme heslo pro administrátorský přístup. Spustí se zjednodušená konfigurace, která nám pro nastavení VPN bude pro začátek stačit. V prvním kroku zaškrtneme Remote Access VPN server, klikneme na next, pojmenujeme Virtual Hub name (název konfigurace), potvrdíme.

 

 

 

Sekci Dynamic DNS function můžeme tlačítkem Exit zavřít. Nyní je třeba nastavit L2TP připojení, pro naše účely zaškrtneme možnost Enable L2TP Server function (L2TP over IPsec). Dole zadáme náš sdílený klíč, utilita doporučuje 8 znaků. Klikneme na OK.

 

 

VPN od Azure nepotřebujeme, zvolíme možnost disable a potvrdíme. V dalším kroku vytvoříme VPN uživatele. Klikneme na Create Users, vyplníme potřebné údaje (povinné je username a password). Auth type necháme jako Password authentication. Potvrdíme a vybereme síťovou kartu (podívejte se do nastavení síťových karet, která z nich je ve Vašem serveru aktivní). Klikneme na Close.

 

 

 

Základní konfigurace byla dokončena, nyní chybí ještě nastavit SecureNAT, který zajistí vnitřní IP adresy serveru. Klikneme na Manage Virtual Hub, vybereme Virtual NAT and Virtual DHCP Server (SecureNAT).

 

 

 

 

 

 

Nastavení na straně VPN serveru je hotové, nyní přidáme vnitřní IP adresu na síťové rozhraní. K tomu můžeme použít následující postup: https://kb.forpsicloud.cz/cz/computing/verejna-ip-adresa/konfigurace-multi-ip-na-existujicim-cloud-serveru-windows.aspx

Pokud jste nechali defaultní nastavení, můžete použít libovolnou IP adresu z rozsahu 192.168.30.10 až 200.

Na firewall pak přidáme celý rozsah vnitřních IP adres (např. 192.168.30.0/24): https://support.forpsi.com/kb/a4006/omezeni-pristupu-ke-vzdalene-plose-rdp.aspx

Po uložení nastavení je třeba nakonfigurovat klientské zařízení, které se bude na VPN připojovat: https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md