Доброго дня, прошу совета по безопасности сервера от угроз из вне. Имеем серврер 2016, крутится sql 1c, поднял на нем FTP, включил rdp для сотрудников, переназначил порты на роутере. Посмотрел в журнале безопасности, каждые 2-3 сек ломятся на сервер и брутфорсят. Хотелось бы обезопасить сервер. Нужен совет как лучше всего сделать ограничения. Использовать аппаратный программный комплекс межсетевого экрана (какой производитель), либо программный? И в целом можно ли как то граничить по мак адресам сетевых карт подключения к серверу.

Хотелось бы обезопасить сервер. »

Настраивайте VPN или Remote Desktop Gateway (https://winitpro.ru/index.php/2022/03/17/nastrojka-shlyuza-remote-desktop-gateway-windows-server/) (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему).

Настраивайте VPN или Remote Desktop Gateway (это если использовать штатные и предсказуемые инструменты).
Белый список адресов и жёсткий фаервол (например RouterOS/Mikrotik) + какие-то самописные скрипты (это если использовать не штатные инструменты и хочется погрузится в тему). »
Если я запущу впн, то будет ли смысл внешнего IP от провайдера? есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно?

pay666, я бы еще включил ограничение попыток подбора пароля (например, так (https://remontka.pro/lock-windows-10-password-attempts/)). Разумеется, стандартные учётки переименовать ("администратора", как минимум) и порт RDP на сервере изменить на какой-нибудь левый, например, 40093.

Если я запущу впн, то будет ли смысл внешнего IP от провайдера? »

А куда он по Вашему должен деться?

есть ли способы прописать на железке или в брандмауэре мак адреса ( их около 10 шт) а остальным макам будет недоступно? »

Почитайте что такое уровень сети L2 и L3 и будут у Вас меньше откровенно глупых вопросов.

порт RDP на сервере изменить на какой-нибудь левый, например, 40093. »

Методом сканирования портов эта "хитрость" проживём около минуты...

Методом сканирования портов эта "хитрость" проживём около минуты... »
не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно.

не панацея, конечно, но некоторые "тупые" скрипты отсеиваются. Вкупе с остальными мерами позволяет выжить. Ну и внешний фаервол с "белым списком" весьма желателен, конечно. »

И вот зачем это если есть VPN и уже на уровне VPN вся задача и решается!

Можно и на палке проехать пол мира, но это не удобно, больно, долго и муторно... :tomato2:

pay666, поставь на входе микротик и разрисуй все свои желания правилами: хочешь - собирай в мешок спаммеров на автомате, хочешь - по страновым диапазонам ограничь, хочешь - по разрешенным адресам only разреши, хочешь... да что хочешь - то и делай)

ЗЫ: и со всем этим VPN тоже никто не отменял... причем на этот же микротик)

Anton04, ShaddyR, сдаётся мне, если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал ;)
Кстати, про VPN - в таком случае сеть будет легко доступна с подключаемого компа, и закрытием одного порта на фаерволе уже не отделаешься (зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности)

зашли на удаленный комп - этот комп подключается легитимно! через VPN - тут уже простор для деятельности) »
ну, согласись - скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов.
>
если бы ТС знал про VPN и/или Mikrotic, он бы тут не спрашивал »
теперь знает. Для того и спрашивал, полагаю)

скомпроментировать одну локальную машину для взлома удаленного сервера - совсем не то, что ломиться ботами с ляма адресов. »
ох, я бы так не сказал.... был прецедент (бух заходил со своего домашнего компа через ВПН, а на компе у него, как оказалось позже, уже пару лет резвились то ли китайцы, то ли корейцы). Так что у меня для рядовых юзеров только RDP с ограничениями, для себя же VPN, хоть с телефона.
Кстати, вместо цисок и микротиков можно использовать pfsense/opnsense на дешевом железе, если проблема с бюджетом или настройками проприетарного софта. Считай, бесплатно, да и функционала выше крыши (блокировка регионов, диапазонов адресов, белые списки, и прочее);)