Защита удалённого доступа к серверам офиса: RDP, SSH, VPN в 2026 году

Меня зовут Семёнов Евгений Сергеевич, я уже 15 лет занимаюсь обслуживанием корпоративных IT-инфраструктур в Москве. За последние два года 60 % всех ЧП у моих клиентов начинались с одного и того же — кто-то «временно» открыл порт 3389 в интернет, чтобы бухгалтер поработал из дома, и забыл закрыть. В этой статье разберу пошагово, как защитить удалённый доступ к серверу 1С, NAS, IP-АТС и другим узлам в офисе до 50 рабочих мест — без покупки дорогих корпоративных решений.

Почему стандартные «удобные» схемы — это бомба

Самое распространённое, что я вижу при первом аудите нового клиента: терминальный сервер с 1С торчит в интернет на стандартном порту 3389, потому что «бухгалтерия работает удалённо в выходные». Иногда вместо терминала — RDP к рабочей станции главбуха. Иногда — открытый Anydesk или TeamViewer без двухфакторки. Один раз я нашёл сервер 1С с админским паролем 1c2024 и портом 3389, открытым весь 2024 год. Через 4 месяца после моего ухода клиента взломали, зашифровали все базы и попросили 18 BTC.

За 2025 год по статистике ФинЦЕРТ ЦБ РФ через открытый RDP было взломано 64 % российских компаний малого бизнеса, попавших в их сводку. Сценарий стандартный: атакующий сканирует диапазон IP-адресов российских провайдеров, находит порт 3389, подбирает пароль из утечки или по словарю (за неделю-две — гарантированно), заходит, гасит антивирус, выгружает базу 1С и шифрует диски. Среднее требование выкупа — от 1.5 до 8 млн рублей.

И вот в чём подвох: сложные пароли не помогают. У одного моего клиента стоял пароль QwErTy_45sd!Jh39 — взломали через 11 дней, потому что админ когда-то использовал этот же пароль на форуме автомобилистов, базу которого слили. Я давно перестал верить в «достаточно сложного пароля» и в любой инфраструктуре требую закрытие портов за VPN и многофакторную аутентификацию.

Шаг 1. Закрываем все наружные порты, кроме явно нужных

Первое, с чего начинаю аудит: запускаю сканер портов на белый IP клиента и смотрю, что торчит наружу. У 80 % новых клиентов вижу одну и ту же картину:

• Порт 3389 (RDP) — терминал или рабочая станция бухгалтера
• Порт 22 (SSH) — Linux-сервер бэкапов или роутер Mikrotik
• Порт 80/443 (HTTP/HTTPS) — веб-морда NAS Synology или QNAP
• Порт 5900 (VNC) — рабочая станция инженера
• Порт 8728/8729 (Mikrotik API) — это отдельная боль, об этом ниже
• Порт 1С TCP (1540, 1541, 1560-1591) — серверная часть 1С

Правильная конфигурация выглядит так: наружу торчит только порт VPN (UDP 51820 для WireGuard или UDP 1194 для OpenVPN) и порт почтового сервера, если он у вас на месте. Всё. Доступ к 1С, RDP, NAS, IP-камерам, админкам роутеров — только из внутренней сети или после подключения к VPN.

На Mikrotik это делается одной командой через firewall:

# Открываем только VPN наружу
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 comment="WireGuard VPN"
add chain=input action=accept connection-state=established,related comment="Established"
add chain=input action=accept in-interface=bridge-lan comment="LAN to router"
add chain=input action=drop comment="Drop everything else"

После такой настройки сканер портов снаружи увидит закрытое наглухо устройство. Если кто-то хочет работать удалённо — сначала поднимает VPN, потом подключается к терминалу или 1С по внутреннему адресу.

Шаг 2. Поднимаем WireGuard на роутере Mikrotik за 30 минут

Я уже пятый год везде ставлю WireGuard вместо OpenVPN — он проще, быстрее, легче настраивается, и клиенты для него есть на любой платформе. Mikrotik с RouterOS 7.x поддерживает WireGuard из коробки. Конфигурация для офиса 25 рабочих мест:

# Создаём интерфейс WireGuard
/interface wireguard
add listen-port=51820 mtu=1420 name=wg-office private-key="генерируем командой /interface wireguard generate-key"

# Назначаем адрес для интерфейса
/ip address
add address=10.10.10.1/24 interface=wg-office network=10.10.10.0

# Добавляем пира (клиента) — для каждого пользователя
/interface wireguard peers
add allowed-address=10.10.10.2/32 interface=wg-office \
    public-key="публичный ключ клиента" comment="ivanov-laptop"

# Открываем порт в файрволе (если не открыли выше)
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 place-before=0

На клиенте (Windows, macOS, iOS, Android) ставится официальное приложение WireGuard, в него импортируется конфиг — и через 5 секунд у пользователя есть защищённый туннель в офис. Скорость — почти как по проводу, на iPhone аккумулятор не сажает, в отличие от OpenVPN.

В моей практике на офисе из 30 человек настройка с нуля занимает 1.5 часа: 30 минут на роутер, час на раздачу конфигов и установку приложений у пользователей. Ещё час уходит на инструктаж бухгалтерии, чтобы они не путали кнопку «Подключить VPN» с «Закрыть».

Шаг 3. Многофакторная аутентификация на сервере 1С

VPN — это первый рубеж. Но если у атакующего есть конфиг VPN одного из сотрудников (украденный с ноутбука, например), он окажется внутри сети. Поэтому второй обязательный рубеж — MFA на критичных ресурсах: терминальный сервер, RDP к серверу 1С, доступ к админке Mikrotik, веб-морда NAS.

Для Windows Server есть бесплатное решение от Rohos Logon Key или платное Duo Security. Я обычно ставлю Rohos — стоит 1 990 ₽ за пользователя разово, поддерживает любые TOTP-приложения (Google Authenticator, Microsoft Authenticator, Яндекс.Ключ). Настройка через GUI занимает 15 минут на сервер плюс 2 минуты на каждого пользователя.

Альтернатива бесплатно — настроить SSO через Yandex 360 для бизнеса с обязательной двухфакторкой и подключить терминал через RD Web Access с интеграцией в Yandex SSO. Это сложнее, но если у вас и так Yandex 360 — экономит на лицензиях Rohos.

Для NAS Synology и QNAP двухфакторка включается одной галкой в админке — просто это нужно сделать. У меня была история, когда у клиента взломали Synology через утечку пароля админа: 12 ТБ архивных документов оказались зашифрованы. Двухфакторка спасла бы за 30 секунд работы при настройке.

Шаг 4. SSH к Linux-серверам — ключи и порт

Если в офисе есть Linux-серверы (бэкапы, IP-АТС на Asterisk, файловый сервер на Samba), SSH к ним должен быть настроен по правилам. Я делаю стандартный hardening, занимает 10 минут на сервер:

# /etc/ssh/sshd_config
Port 22022                       # Перенос со стандартного 22
PermitRootLogin no               # Запрет входа от root
PasswordAuthentication no        # Только по ключам
PubkeyAuthentication yes
AllowUsers admin operator        # Только конкретные пользователи
ClientAliveInterval 300
MaxAuthTries 3

# Перезапускаем
systemctl restart sshd

Ключ генерируется на рабочей станции администратора командой ssh-keygen -t ed25519 -C "admin@office" — алгоритм ed25519 короче и безопаснее RSA. Публичный ключ копируется на сервер через ssh-copy-id, парольный вход после этого отключается.

Сам SSH-порт остаётся доступен только из внутренней сети офиса либо после подключения к VPN. Снаружи — закрыт.

Дополнительно ставим fail2ban — он автоматически банит IP, с которых идут попытки подбора:

# Установка и базовая настройка
apt install fail2ban -y

# /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3
findtime = 600
bantime = 86400

За первый месяц после такой настройки fail2ban на сервере одного клиента забанил 0 IP — потому что снаружи на 22022 никто не стучится, всё закрыто файрволом. Это и есть правильная архитектура.

Шаг 5. Что делать с Anydesk, TeamViewer и прочими «удобствами»

Отдельная боль — программы удалённого доступа, которые сотрудники ставят сами. Anydesk, TeamViewer, RustDesk, Splashtop. Они «дырявят» файрвол через исходящие подключения к облаку производителя, так что закрытие портов снаружи не помогает.

В одном проекте я обнаружил у клиента 14 рабочих станций с Anydesk, у каждой второй был включён режим «Безусловное соединение» с фиксированным паролем длиной 6 цифр. Любой человек с ID этой машины и этим паролем мог зайти. Узнал я это, потому что один из сотрудников увидел курсор, двигающийся сам по себе.

Что делаю в таких ситуациях:

• Включаю в групповой политике (GPO) запрет на установку неподписанного ПО на рабочих станциях
• Настраиваю контентный фильтр на роутере, блокирующий домены anydesk.com, teamviewer.com и аналоги
• Если нужен удалённый доступ — даю VPN + RDP, никаких облачных решений
• Если бизнес настаивает на удобстве (бухгалтер из дома) — поднимаю терминальный сервер с RDP за RDG (Remote Desktop Gateway) с обязательным MFA

Anydesk и TeamViewer — это не зло сами по себе. Зло — это бесконтрольная их установка пользователями без MFA и без логирования сессий. Если вы как руководитель хотите видеть, кто и когда подключался к каким машинам, эти инструменты вам не покажут ничего. RDG + Active Directory покажет всё в журнале событий.

Шаг 6. Логирование и контроль

Защита без логирования — это иллюзия безопасности. Вы не узнаете, что вас взломали, пока данные не появятся в даркнете. Поэтому минимум, что должно логироваться:

• Все подключения к VPN: кто, когда, с какого IP
• Все RDP-сессии на сервер 1С и терминал
• Изменения в Active Directory (создание учёток, выдача прав админа)
• Скачивание больших объёмов с файлового сервера и NAS
• Срабатывания антивируса и попытки запуска подозрительных файлов

Для офиса до 50 человек хватает связки: Wazuh (бесплатный SIEM) + журналы Windows + журналы Mikrotik в syslog. Wazuh ставится на отдельную виртуалку с 4 ГБ RAM, собирает логи со всех узлов, шлёт уведомления в Telegram при подозрительных событиях. Настройка под ключ — 12–16 часов работы инженера.

У меня в АйТи Фреш есть готовый набор правил Wazuh для офисной инфраструктуры: 47 правил с алертами на типичные атаки (брутфорс RDP, аномальные логины в нерабочее время, массовое удаление файлов, шифрование). Развёртывание у нового клиента — 1 рабочий день, дальше алерты идут в наш SOC и реагирует дежурный инженер.

Шаг 7. Бэкапы — последняя линия обороны

Если всё предыдущее не сработало (а оно может не сработать — 100 % защиты не существует), последняя надежда — это бэкапы. Не «бэкапы где-то на NAS», а нормальная схема 3-2-1: три копии данных, на двух разных носителях, одна копия — в офлайне или в облаке вне досягаемости шифровальщика.

Стандартная схема, которую я ставлю клиентам:

• Копия 1: ежедневный бэкап 1С на NAS Synology/QNAP в офисе через Veeam Backup или встроенные средства Synology Active Backup
• Копия 2: еженедельный бэкап на USB-диск, который физически подключается раз в неделю и хранится в сейфе. Шифровальщик не дотянется до отключённого диска
• Копия 3: ежедневный инкрементальный бэкап в облако (Yandex Object Storage, Selectel, наш собственный FTP-узел в дата-центре). Доступ — только через сервисный аккаунт без права удаления

Принципиальный момент: облачный бэкап должен идти в режиме append-only или immutable. Если шифровальщик попадёт в офис и получит доступ к учётке бэкапа, он не должен иметь возможности удалить старые копии. У Yandex Object Storage эта функция называется Object Lock, у Selectel — WORM. Включается одной галкой при создании бакета.

Раз в квартал я проверяю восстановление: разворачиваю базу 1С из бэкапа на тестовом сервере, проверяю, что данные актуальны и читаются. Без проверки бэкапа считается несуществующим — у меня было два случая, когда «бэкапы делались полгода», а при попытке восстановления выяснилось, что они битые с первого дня.

Сколько это всё стоит для офиса 25 рабочих мест

Чтобы не было разговоров «а сколько это вместе», вот реальная смета на полный комплект защиты удалённого доступа для типичного офиса 25 рабочих мест с сервером 1С, NAS и IP-АТС в Москве:

Дальше идёт обслуживание — мониторинг, обновление правил Wazuh, проверка бэкапов раз в квартал, реагирование на инциденты. Это входит в нашу абонентку «Стандарт» от 45 000 ₽/мес для офиса этого размера, без дополнительной платы.

Чего я больше не делаю клиентам в 2026 году

За 15 лет практики список «больше никогда» вырос до приличного размера. Делюсь, чтобы вы не повторяли:

• Никогда не оставляю порт 3389 открытым в интернет, даже на «один день для бухгалтера». «Один день» превращается в год за два часа
• Не использую port-knocking как замену VPN. Звучит хитро, но в реальности атакующие давно научились обходить эти схемы
• Не доверяю VPN на роутере провайдера — у меня было два случая, когда у Ростелекома и Билайна находили дыры в их VPN-сервисах. Ставлю VPN только на собственное оборудование клиента
• Не использую PPTP вообще — протокол сломан с 2012 года, его MS-CHAPv2 ломается за минуты
• Не оставляю в качестве админа учётку Administrator — переименовываю в нечто длинное и неочевидное, создаю отдельную ловушку с именем Administrator без прав
• Не разрешаю сотрудникам ставить Anydesk или TeamViewer на рабочие станции — только корпоративный VPN + RDP

FAQ — частые вопросы по защите удалённого доступа

Можно ли вообще не закрывать RDP, если у нас сложные пароли?

Нет. За 2025 год через открытый в интернет RDP взломали 64 % российских компаний малого бизнеса. Сложные пароли не помогают, потому что атакующие используют утечки баз. Минимальная защита — закрыть RDP за VPN или поставить шлюз RDG с MFA.

Какой VPN выбрать для офиса до 50 человек?

WireGuard на роутере Mikrotik или OpenVPN на сервере с pfSense — это два рабочих варианта. Для офиса 10–25 рабочих мест WireGuard на Mikrotik hAP ax3 за 12 000 ₽ закрывает задачу полностью. Для 30+ человек ставим pfSense на отдельной железке.

Что лучше — RDG (Remote Desktop Gateway) или VPN?

Если терминальный сервер — единственное, к чему нужен доступ извне, RDG проще и безопаснее VPN. Если нужен доступ к нескольким сервисам (1С, NAS, IP-камеры, веб-админки), удобнее VPN. Часто комбинируем: RDG для бухгалтеров, VPN для администраторов.

Сколько стоит защитить удалённый доступ в офисе на 25 рабочих мест?

Если есть Mikrotik — 35 000–55 000 ₽ разовых работ за настройку WireGuard, MFA на сервер 1С, fail2ban, перенос RDP на нестандартный порт за VPN. Если нужен новый Mikrotik — добавить 12 000–18 000 ₽ за оборудование. Полный комплекс с Wazuh и бэкапами — от 132 000 ₽.

Нужен ли отдельный bastion-сервер для офиса 10 человек?

Нет, для офиса до 30 человек bastion избыточен. Достаточно VPN на роутере + MFA на сервере 1С + закрытые наружу порты. Bastion появляется при наличии 3+ серверов и распределённой команде администраторов.