Защита удалённого доступа к серверам офиса: RDP, SSH, VPN в 2026 году
Привет! Меня зовут Семёнов Евгений Сергеевич, и уже целых 15 лет я занимаюсь обслуживанием корпоративных IT-инфраструктур в Москве. Знаете, что самое интересное? За последние два года 60 % всех ЧП, которые происходили у моих клиентов, начинались по одному и тому же сценарию: кто-то временно открывал порт 3389 в интернет, чтобы бухгалтер смог поработать из дома, а потом просто забывал его закрыть. В этом тексте я подробно, шаг за шагом расскажу, как можно надёжно защитить удалённый доступ к вашему серверу 1С, NAS, IP-АТС и другим важным узлам в офисе, рассчитанном до 50 рабочих мест. И самое главное — для этого не понадобятся дорогие корпоративные решения.
Почему стандартные «удобные» схемы — это бомба
Когда я впервые прихожу на аудит к новому клиенту, очень часто вижу одну и ту же картину: терминальный сервер с 1С просто торчит в интернет через стандартный порт 3389. Объяснение всегда одно: «бухгалтерия же работает удалённо по выходным». Иногда вместо целого терминала — это прямой RDP-доступ к рабочей станции главбуха. А порой — и вовсе открытый Anydesk или TeamViewer, и при этом даже без двухфакторной аутентификации! Как-то раз мне попался сервер 1С, где админский пароль был '1c2024', а порт 3389 был открыт весь 2024 год. Через каких-то 4 месяца после того, как я закончил там работу, этого клиента взломали, все базы оказались зашифрованы, и за них потребовали ни много ни мало 18 BTC.
Кстати, вот вам ещё цифры: по статистике ФинЦЕРТ ЦБ РФ за 2025 год, 64 % российских компаний малого бизнеса, попавших в их сводку, взломали именно через открытый RDP. Сценарий, как правило, всегда один и тот же: злоумышленник начинает сканировать диапазоны IP-адресов российских провайдеров, находит открытый порт 3389, а затем подбирает пароль — либо из слитых баз, либо просто по словарю. Поверьте, на это уходит максимум неделя-две, и успех практически гарантирован! После этого он заходит в систему, отключает антивирус, скачивает базу 1С, а потом шифрует все диски. Средняя сумма выкупа за такие данные, кстати, колеблется от 1.5 до 8 млн рублей.
Но самое неприятное здесь вот в чём: даже очень сложные пароли тут, к сожалению, не спасают. У одного моего клиента стоял пароль, который выглядел как QwErTy_45sd!Jh39, — казалось бы, ну куда уж сложнее? Но их всё равно взломали через 11 дней. Как потом выяснилось, админ когда-то давно использовал именно этот пароль на каком-то форуме автомобилистов, а базу того форума потом слили в сеть. Поэтому я уже давно перестал верить в концепцию «достаточно сложного пароля» и теперь в любой инфраструктуре настаиваю на двух вещах: обязательном закрытии всех портов за VPN и внедрении многофакторной аутентификации.
Шаг 1. Закрываем все наружные порты, кроме явно нужных
С чего я обычно начинаю свой аудит? Сначала запускаю сканер портов по белому IP-адресу клиента и внимательно смотрю, что же там "торчит" наружу. И, поверьте, у 80 % тех, кто только начинает работать, картина всегда одна и та же:
- Порт 3389 (RDP) — терминал или рабочая станция бухгалтера
- Порт 22 (SSH) — Linux-сервер бэкапов или роутер Mikrotik
- Порт 80/443 (HTTP/HTTPS) — веб-морда NAS Synology или QNAP
- Порт 5900 (VNC) — рабочая станция инженера
- Порт 8728/8729 (Mikrotik API) — это отдельная боль, об этом ниже
- Порт 1С TCP (1540, 1541, 1560-1591) — серверная часть 1С
А вот как должна выглядеть действительно правильная конфигурация: наружу должен "смотреть" только порт VPN (это UDP 51820 для WireGuard или UDP 1194 для OpenVPN), ну и, конечно, порт почтового сервера, если вы используете свой. И это всё, точка! Доступ к 1С, RDP, NAS, IP-камерам, админкам роутеров — всё это должно быть доступно исключительно из вашей внутренней сети или только после того, как вы подключитесь к VPN.
На Mikrotik это делается одной командой через firewall:
# Открываем только VPN наружу
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 comment="WireGuard VPN"
add chain=input action=accept connection-state=established,related comment="Established"
add chain=input action=accept in-interface=bridge-lan comment="LAN to router"
add chain=input action=drop comment="Drop everything else"
После такой настройки сканер портов снаружи увидит закрытое наглухо устройство. Если кто-то хочет работать удалённо — сначала поднимает VPN, потом подключается к терминалу или 1С по внутреннему адресу.
Шаг 2. Поднимаем WireGuard на роутере Mikrotik за 30 минут
Уже пятый год подряд я везде предпочитаю ставить WireGuard вместо OpenVPN. Почему? Да потому что он гораздо проще, работает быстрее, его настроить легче, а клиенты под него найдутся на любой, абсолютно любой платформе. Кстати, Mikrotik с RouterOS 7.x умеет работать с WireGuard прямо "из коробки". А вот вам пример конфигурации для офиса, где работает 25 человек:
# Создаём интерфейс WireGuard
/interface wireguard
add listen-port=51820 mtu=1420 name=wg-office private-key="генерируем командой /interface wireguard generate-key"
# Назначаем адрес для интерфейса
/ip address
add address=10.10.10.1/24 interface=wg-office network=10.10.10.0
# Добавляем пира (клиента) — для каждого пользователя
/interface wireguard peers
add allowed-address=10.10.10.2/32 interface=wg-office \
public-key="публичный ключ клиента" comment="ivanov-laptop"
# Открываем порт в файрволе (если не открыли выше)
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 place-before=0
На клиенте (Windows, macOS, iOS, Android) ставится официальное приложение WireGuard, в него импортируется конфиг — и через 5 секунд у пользователя есть защищённый туннель в офис. Скорость — почти как по проводу, на iPhone аккумулятор не сажает, в отличие от OpenVPN.
Для офиса, где работает около 30 человек, настройка всего этого с нуля у меня занимает примерно 1.5 часа. Из них 30 минут уходит на сам роутер, ещё час — на то, чтобы раздать всем конфиги и установить нужные приложения пользователям. И, честно говоря, ещё один час я трачу на инструктаж бухгалтерии, чтобы они точно не перепутали кнопку «Подключить VPN» с кнопкой «Закрыть».
Шаг 3. Многофакторная аутентификация на сервере 1С
VPN — это первый рубеж. Но если у атакующего на руках конфиг VPN кого-то из сотрудников (украл с ноутбука, скажем), он окажется внутри сети. Поэтому нужен второй обязательный рубеж — MFA на критичных ресурсах: терминальный сервер, RDP к серверу 1С, админка Mikrotik, веб-морда NAS.
Под Windows Server есть бесплатный Rohos Logon Key и платный Duo Security. Я обычно ставлю Rohos — 1 990 ₽ за пользователя разово, работает с любыми TOTP-приложениями (Google Authenticator, Microsoft Authenticator, Яндекс.Ключ). Настройка через GUI — 15 минут на сервер плюс 2 минуты на каждого пользователя.
Есть и бесплатная альтернатива, правда, с ней придётся немного повозиться. Вы можете поднять SSO через Yandex 360 для бизнеса, где двухфакторная аутентификация будет обязательной, а затем подключить терминал через RD Web Access с интеграцией в Yandex SSO. Да, хлопот с этим больше, но если у вас уже есть Yandex 360, то это позволит заметно сэкономить на лицензиях Rohos.
Что касается NAS-систем, таких как Synology и QNAP, то здесь двухфакторная аутентификация включается буквально одной галочкой в админке. Просто нужно не забыть это сделать! У меня, кстати, была такая история: одному клиенту взломали Synology из-за утечки админского пароля, и в итоге 12 ТБ архивных документов оказались зашифрованы. А ведь двухфакторка спасла бы их данные, это всего лишь 30 секунд работы при настройке.
Шаг 4. SSH к Linux-серверам — ключи и порт
Если у вас в офисе есть Linux-серверы — например, для бэкапов, IP-АТС на Asterisk или файловый сервер на Samba — то SSH-доступ к ним нужно настроить, что называется, "по уму". Я обычно провожу стандартный hardening, и это занимает всего 10 минут на каждый сервер:
# /etc/ssh/sshd_config
Port 22022 # Перенос со стандартного 22
PermitRootLogin no # Запрет входа от root
PasswordAuthentication no # Только по ключам
PubkeyAuthentication yes
AllowUsers admin operator # Только конкретные пользователи
ClientAliveInterval 300
MaxAuthTries 3
# Перезапускаем
systemctl restart sshd
Ключ генерируется на рабочей станции администратора командой ssh-keygen -t ed25519 -C "admin@office" — алгоритм ed25519 короче и безопаснее RSA. Публичный ключ копируется на сервер через ssh-copy-id, парольный вход после этого отключается.
Сам SSH-порт остаётся доступным исключительно из внутренней сети офиса или только после того, как вы подключитесь к VPN. Снаружи же он должен быть закрыт наглухо, абсолютно!
Сверху ставим fail2ban — он сам банит IP, с которых идёт подбор:
# Установка и базовая настройка
apt install fail2ban -y
# /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3
findtime = 600
bantime = 86400
За первый месяц после такой настройки fail2ban на сервере одного клиента забанил 0 IP — потому что снаружи на 22022 никто не стучится, всё закрыто файрволом. Это и есть правильная архитектура.
Шаг 5. Что делать с Anydesk, TeamViewer и прочими «удобствами»
Есть ещё одна, совершенно отдельная головная боль — это всевозможные программы для удалённого доступа, которые сотрудники порой ставят сами. Я говорю про Anydesk, TeamViewer, RustDesk, Splashtop и подобные. Вся проблема в том, что они буквально "дырявят" ваш файрвол исходящими подключениями к облакам своих производителей. А это значит, что просто закрыть порты снаружи тут уже никак не получится.
В рамках одного проекта я как-то обнаружил у клиента целых 14 рабочих станций с Anydesk. И что самое страшное, на каждой второй был активирован режим «Безусловное соединение» с простым фиксированным паролем из 6 цифр! Получается, зайти на такую машину мог абсолютно любой, кто знал ID компьютера и, собственно, этот пароль. А узнал я об этом, кстати, совершенно случайно: один из сотрудников просто заметил, что курсор на его экране сам по себе ползает.
Что я делаю в таких ситуациях:
- Включаю в групповой политике (GPO) запрет на установку неподписанного ПО на рабочих станциях
- Настраиваю контентный фильтр на роутере, блокирующий домены anydesk.com, teamviewer.com и аналоги
- Если нужен удалённый доступ — даю VPN + RDP, никаких облачных решений
- Если бизнес настаивает на удобстве (бухгалтер из дома) — поднимаю терминальный сервер с RDP за RDG (Remote Desktop Gateway) с обязательным MFA
Anydesk и TeamViewer сами по себе не зло. Зло — это когда их бесконтрольно ставят пользователи, без MFA и без логирования сессий. Захотите вы как руководитель увидеть, кто и когда подключался к каким машинам, — эти инструменты не покажут ничего. А вот RDG + Active Directory покажет всё в журнале событий.
Шаг 6. Логирование и контроль
Защита без логирования — это иллюзия безопасности. О взломе вы узнаете не раньше, чем данные всплывут в даркнете. Поэтому вот минимум, что должно логироваться:
- Все подключения к VPN: кто, когда, с какого IP
- Все RDP-сессии на сервер 1С и терминал
- Изменения в Active Directory (создание учёток, выдача прав админа)
- Скачивание больших объёмов с файлового сервера и NAS
- Срабатывания антивируса и попытки запуска подозрительных файлов
Для офиса до 50 человек хватает связки: Wazuh (бесплатный SIEM) плюс журналы Windows плюс журналы Mikrotik в syslog. Wazuh ставится на отдельную виртуалку с 4 ГБ RAM, собирает логи со всех узлов и шлёт уведомления в Telegram при подозрительных событиях. Настройка под ключ — 12–16 часов работы инженера.
Кстати, у нас в АйТи Фреш есть уже готовый, специально разработанный набор правил для Wazuh, заточенный под офисную инфраструктуру. Это целых 47 правил с алертами, которые срабатывают на самые типичные атаки: брутфорс RDP, аномальные входы в нерабочее время, массовое удаление файлов, попытки шифрования. Развернуть это у нового клиента занимает всего 1 рабочий день. После этого все алерты автоматически "летят" в наш SOC, где на них оперативно реагирует дежурный инженер.
Шаг 7. Бэкапы — последняя линия обороны
Ну а если вдруг всё предыдущее не сработало — а такое, к сожалению, бывает, ведь 100 % защиты просто не существует, — тогда наша последняя и самая главная надежда — это, конечно, бэкапы. И я говорю не про какие-то там «бэкапы где-то на NAS», а про нормальную, проверенную схему 3-2-1: это значит, три копии ваших данных, обязательно на двух разных носителях, и одна из этих копий — в офлайне или в облаке, куда никакому шифровальщику просто не дотянуться.
Стандартная схема, которую я ставлю клиентам:
- Копия 1: ежедневный бэкап 1С на NAS Synology/QNAP в офисе через Veeam Backup или встроенные средства Synology Active Backup
- Копия 2: еженедельный бэкап на USB-диск, который физически подключается раз в неделю и хранится в сейфе. Шифровальщик не дотянется до отключённого диска
- Копия 3: ежедневный инкрементальный бэкап в облако (Yandex Object Storage, Selectel, наш собственный FTP-узел в дата-центре). Доступ — только через сервисный аккаунт без права удаления
Здесь есть один принципиально важный момент: ваш облачный бэкап должен работать в режиме append-only или, как его ещё называют, immutable. Это значит, что даже если шифровальщик каким-то образом пролезет в ваш офис и доберётся до учётной записи бэкапа, он просто не должен иметь возможности удалить старые копии. В Yandex Object Storage эта функция называется Object Lock, а у Selectel — WORM. Включается она, кстати, одной-единственной галочкой прямо при создании бакета.
Раз в квартал я обязательно сам проверяю восстановление данных: поднимаю базу 1С из бэкапа на тестовом сервере и убеждаюсь, что все данные свежие и отлично читаются. Для меня непроверенный бэкап — это всё равно что несуществующий! У меня, например, было два таких случая, когда клиенты уверяли, что «бэкапы делались полгода», а при первой же попытке восстановления выяснялось, что они были битые с самого первого дня.
Сколько это всё стоит для офиса 25 рабочих мест
Чтобы сразу снять вопрос «а сколько это всё вместе будет стоить?», я подготовил реальную смету на полный комплект защиты удалённого доступа. Это для типичного московского офиса на 25 рабочих мест, где есть сервер 1С, NAS и IP-АТС:
| Работы / оборудование | Стоимость | Срок |
|---|---|---|
| Аудит удалённого доступа, отчёт | 0 ₽ (бесплатно при заключении договора) | 2 дня |
| Настройка WireGuard на Mikrotik + клиенты | 18 000 ₽ | 1 день |
| Закрытие портов, hardening Mikrotik | 8 000 ₽ | 4 часа |
| MFA Rohos на сервер 1С (25 лицензий) | 49 750 ₽ (1990 × 25) | 1 день |
| SSH hardening + fail2ban на Linux-серверах | 6 000 ₽ за сервер | 2 часа |
| Настройка Wazuh с алертами в Telegram | 22 000 ₽ | 2 дня |
| Настройка бэкапа 3-2-1 (NAS + USB + облако) | 28 000 ₽ | 1.5 дня |
| Итого разовых работ | от 132 000 ₽ | 5–7 рабочих дней |
Что идёт дальше? Конечно же, обслуживание! Сюда входит мониторинг, регулярное обновление правил Wazuh, проверка бэкапов раз в квартал и, конечно, оперативное реагирование на любые инциденты. Всё это уже включено в нашу абонентскую плату «Стандарт», которая начинается от 45 000 ₽/мес для офиса такого размера. И никаких скрытых доплат!
Чего я больше не делаю клиентам в 2026 году
За 15 лет практики список «больше никогда» вырос до приличного размера. Делюсь, чтобы вы не повторяли:
- Никогда не оставляю порт 3389 открытым в интернет, даже на «один день для бухгалтера». «Один день» превращается в год за два часа
- Не использую port-knocking как замену VPN. Звучит хитро, но в реальности атакующие давно научились обходить эти схемы
- Не доверяю VPN на роутере провайдера — у меня было два случая, когда у Ростелекома и Билайна находили дыры в их VPN-сервисах. Ставлю VPN только на собственное оборудование клиента
- Не использую PPTP вообще — протокол сломан с 2012 года, его MS-CHAPv2 ломается за минуты
- Не оставляю в качестве админа учётку
Administrator— переименовываю в нечто длинное и неочевидное, создаю отдельную ловушку с именем Administrator без прав - Не разрешаю сотрудникам ставить Anydesk или TeamViewer на рабочие станции — только корпоративный VPN + RDP
Получите бесплатный аудит инфраструктуры
На аудит к каждому новому клиенту в Москве и в радиусе 50 км от МКАД я всегда выезжаю лично. Всего за 2–3 рабочих дня вы получите от меня подробный письменный отчёт, который будет включать в себя полный список уязвимостей удалённого доступа, объективную оценку текущего состояния ваших серверов и роутера, а также честный расчёт стоимости всех работ по устранению найденных проблем. И, что важно, никаких обязательств с вашей стороны!
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по защите удалённого доступа
- Можно ли вообще не закрывать RDP, если у нас сложные пароли?
- Нет. За 2025 год через открытый в интернет RDP взломали 64 % российских компаний малого бизнеса. Сложные пароли не помогают, потому что атакующие используют утечки баз. Минимальная защита — закрыть RDP за VPN или поставить шлюз RDG с MFA.
- Какой VPN выбрать для офиса до 50 человек?
- WireGuard на роутере Mikrotik или OpenVPN на сервере с pfSense — это два рабочих варианта. Для офиса 10–25 рабочих мест WireGuard на Mikrotik hAP ax3 за 12 000 ₽ закрывает задачу полностью. Для 30+ человек ставим pfSense на отдельной железке.
- Что лучше — RDG (Remote Desktop Gateway) или VPN?
- Если терминальный сервер — единственное, к чему нужен доступ извне, RDG проще и безопаснее VPN. Если нужен доступ к нескольким сервисам (1С, NAS, IP-камеры, веб-админки), удобнее VPN. Часто комбинируем: RDG для бухгалтеров, VPN для администраторов.
- Сколько стоит защитить удалённый доступ в офисе на 25 рабочих мест?
- Если есть Mikrotik — 35 000–55 000 ₽ разовых работ за настройку WireGuard, MFA на сервер 1С, fail2ban, перенос RDP на нестандартный порт за VPN. Если нужен новый Mikrotik — добавить 12 000–18 000 ₽ за оборудование. Полный комплекс с Wazuh и бэкапами — от 132 000 ₽.
- Нужен ли отдельный bastion-сервер для офиса 10 человек?
- Нет, для офиса до 30 человек bastion избыточен. Достаточно VPN на роутере + MFA на сервере 1С + закрытые наружу порты. Bastion появляется при наличии 3+ серверов и распределённой команде администраторов.
