Aller au contenu
Chrisdu80

Windows 2012R2 Port UDP 389

Messages recommandés

Bonjour,

 

J'ai actuellement un serveur Windows 2012R2 standard chez un client avec l'AD dessus. Ce serveur est en ligne avec un hébergement chez OVH, c'est un serveur dédié.

 

Il subit très souvent des attaques sur le port 389 par rebond ( voir article ) et l’hébergeur lui coupe régulièrement son serveur.

J'ai fait des règles dans le Firewall afin de ne plus entrer/sortir sur le port 389 sur tout les réseaux. J'ai fait un nmap du serveur et le port 389 n'était plus ouvert/listé, malheureusement et sans modification de mon client ou moi, les attaques ont repris ce week-end et le serveur et de nouveau down.

 

Comment je peux arrêter ce genre de problème ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

J'éviterais de bloquer ce port de l’extérieur si tu utilies le RDP

 

De plus je tiens a rappeler que ce port est nécessaire au fonctionnement de l'AD

 

Tu es chez OVH, malheureusement ce genre d'attaques peut importe le port tu ne pourra rien y faire, à moins de souscrire à l'option protection DDoS, ou de le remplacer par un dédié

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

J'avais le même soucis sur un dédié chez OVH, je l'ai résolu en trois étapes :

  1. J'ai installé PVE sur mon Host (PVE ou Promox est un OS open source, basé sur Debian, qui permet de virtualiser a peu près n'importe quoi).
  2. J'ai créé deux VM, une PFsense/Fail2Ban et une Windows Server. > Ma VM PFsense à une patte sur la carte réseau principale et une patte sur une carte réseau secondaire que j'aurais créé auparavant. Il fait office de "routeur" et de firewall. Le NAT est simple à mettre en place avec cette solution.
  3. Je redirige le port que je souhaite (différent du 389) sur le 389 de mon Windows Server.

L'avantage de cette solution est double, tu créé ton propre LAN sur ton dédié, donc c'est ultra évolutif. De plus, tu as la possibilité de récupérer l'image de ta VM Windows et de l'importer vers un autre Hyperviseur PVE.

 

Bon courage en tout cas !

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Merci pour vos réponses,

 

Le 389 n'est pas utilisé pour le RDS c'est le 3389 et il est utilisé en entrée. La solution du firewall Microsoft n'a aucun effet même en bloquant tout le trafic.

Pour ce qui est de PVE, le client loue une licence Windows, si je retire Windows la licence ne peut pas être attribué à une VM donc j'oblige le client à acheter une licence.

 

Je vais mettre une VM sous linux avec un vlan pour mes serveurs et une IP public unique sur cette VM avec redirection des ports, comme ça cela règle mon problème.

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

Si ton problème ne concerne que le 3389, autant en changer. Tu peux modifier ton Reg pour écouter sur un autre port. Le 3389 fait partie des port "à éviter" avec le 21, 22 et consorts.

Il est vrai que OVH "loue" des licences WS, bonne ou mauvaise chose ce n'est pas à moi de le dire, dans tout les cas si tu n'est pas maître à 100% de ta solution c'est pas l'idéal, que se passerait-il si OVH demain décide d'augmenter les prix de ces "loc", ou si il décide d'arrêter cette offre ?

 

Concernant la solution avec un vLan, si tu es chez OVH regarde du coté de l'offre vRack, même avantage que la mienne coté réseau sans configuration fastidieuse ! ;).

Partager ce message


Lien à poster
Partager sur d’autres sites

Je suis perdu

 

on parle du 3389 pour le RDP

ou du 389 pour l’AD ?

 

concernant la licence Windows Serveur

tu as des licences Windows Serveur a l’achat sur le site Urcdkey (présenter précédemment par Mickarl sur le site) a 15€ il me semble.

 

perso je n’aime pas Proxmox en Hyperviseur j utilise HyperV Serveur ou Esxi (je préfère Esxi perso)

mais c’est une très bonne solution je trouve aussi.

 

meme si cela implique beaucoup de travail sur le dédié de ton client

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

Peut importe concernant les ports, tout est modifiable ou routable si besoin.. Au passage c'est fortement conseillé de modifier le port d'écoute RDP (3389) si le protocole est utilisé.

 

Oups.. Je suis pas fan des licences "à pas cher", surtout pour de la Prod.. désolé ramius179.. Après, à Chrisdu80 de voir !

 

J'avoue que Proxmox fait peur :P. C'est pas le plus facile à configurer et à gérer, mais la conso de ressources et vraiment au top, on ne consomme presque rien.

Le plus avantageux, selon moi, est de pouvoir créer à son petit niveau une infra redondante (FailOver, ...), faut juste bien gérer IPtable, le Multicast et les VPN ! 🤣

Puis, même avec le support, c'est pas cher. Et pour un Lab/utilisation perso/pour s'amuser/pour se former, c'est Gratuit.

 

Je fuis HyperV ! C'est lourd, moche, pas pratique, souvent mélangé à différent rôles par les clients sur le host (DNS, AD, DHCP, ...), les VM sont d'une lourdeurs sans nom aussi, on n'a pas de "vrai" template, ... la liste des grieff est tellement longue que je vais m'arrêter la ;P.

 

Sinon plutôt ok avec Esxi :). Quoique un peu cher..

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Vous avez collé du contenu avec mise en forme.   Supprimer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement

×
×
  • Créer...