RDP и 1С часто становятся критичными точками доступа в компании: через них работают бухгалтерия, руководители, склад, удаленные сотрудники и подрядчики. Но если открыть RDP, 1С, CRM или сервер напрямую в интернет, компания получает не удобство, а постоянный риск. Такие сервисы автоматически находят сканеры и боты, после чего начинаются попытки подбора паролей, перебора уязвимостей и несанкционированного входа.
Правильный подход — закрыть RDP и 1С от прямого доступа из публичного интернета и пускать сотрудников через защищенный корпоративный VPN. На странице VPN для бизнеса БЛИЗКО прямо указывает, что корпоративный VPN помогает закрыть 1С, RDP, CRM, камеры и серверы от внешнего интернета: сотрудник сначала подключается к защищенной корпоративной сети, проходит авторизацию и только потом получает доступ к нужному сервису.
Главная мысль: RDP и 1С не должны быть доступны всему интернету. Их лучше оставить во внутренней сети, а внешний доступ организовать через VPN, фаервол, белый IP, разграничение прав и журнал подключений.
Почему открытый RDP опасен
RDP удобен для администрирования серверов и удаленной работы, но он не должен быть публичной дверью в компанию. Если порт RDP открыт наружу, его быстро находят автоматические сканеры. Дальше начинаются попытки перебора паролей, подбор учетных записей, атаки на старые версии Windows и попытки закрепиться в сети.
Даже если пароль сложный, открытый RDP остается лишней точкой входа. Достаточно ошибки в настройке, старой учетной записи, отсутствия обновлений или случайно выданных прав, чтобы риск стал реальным. Поэтому безопаснее вообще не показывать RDP во внешнем интернете, а разрешать подключение только после входа в VPN.
Почему нельзя открывать 1С напрямую
1С часто содержит финансовые данные, договоры, счета, зарплату, остатки склада, управленческую отчетность и клиентскую информацию. Если база 1С или сервер публикации доступны напрямую из интернета, компания рискует не только простоем, но и утечкой коммерческих данных.
Для пользователей удобный сценарий выглядит так: бухгалтер или руководитель подключается к VPN, попадает в защищенную сеть компании и работает с 1С как из офиса. Снаружи при этом не видны ни сервер 1С, ни RDP, ни файловые ресурсы. Это снижает поверхность атаки и упрощает контроль доступа.
| Сервис | Проблема при прямом доступе | Безопасная схема |
|---|---|---|
| RDP | Подбор паролей, атаки на сервер, доступ к рабочему столу | RDP только внутри VPN |
| 1С | Риск доступа к базе, документам и отчетности | Доступ к 1С после VPN-авторизации |
| CRM | Утечка клиентской базы и сделок | Ограничение по VPN, ролям и IP |
| Камеры | Посторонний доступ к видеопотоку | Просмотр через VPN или закрытый шлюз |
Как VPN закрывает доступ к RDP и 1С
Корпоративный VPN создает защищенный туннель между устройством сотрудника и инфраструктурой компании. На сайте БЛИЗКО описаны разные сценарии: Remote Access VPN для сотрудников из дома и командировок, Site-to-Site VPN для объединения офисов и филиалов, IPsec, WireGuard и OpenVPN для разных задач бизнеса.
Вместо того чтобы открывать RDP или 1С в интернет, компания открывает только VPN-шлюз. Сотрудник подключается к VPN, проходит авторизацию, а затем получает доступ только к тем ресурсам, которые ему разрешены: 1С, RDP-серверу, CRM, файлам или внутреннему порталу. Уволенному сотруднику доступ можно быстро отключить.
Роль белого IP в безопасной схеме
Белый IP нужен как постоянная точка входа для VPN-шлюза или серверной инфраструктуры. Но сам по себе белый IP не означает безопасность. Если на нем открыть RDP или базу 1С напрямую, риск только увеличится. Правильная схема — белый IP для управляемого подключения, а все рабочие сервисы закрыты фаерволом и доступны через VPN.
На странице VPN БЛИЗКО предлагает варианты “VPN + интернет + белый IP” и “VPN + интернет + резерв + SLA”. Это логичная связка для бизнеса: корпоративный канал связи, статический белый IP, защищенный VPN, доступ к 1С и CRM, доступ к серверам и сопровождение.
Где должны находиться серверы
RDP и 1С могут работать на сервере в офисе, в дата-центре, на VPS/VDS или на выделенном сервере. Если инфраструктуру нужно вынести из офиса, полезен раздел VPS/VDS и выделенные серверы. Для собственного оборудования можно рассмотреть аренду стойки в ЦОД.
Где бы ни находился сервер, принцип один: не открывать административные сервисы всему интернету. Сервер может иметь публичный адрес для нужных задач, но доступ к RDP, 1С, базам данных и внутренним панелям лучше ограничивать VPN, фаерволом и правами пользователей.
Безопасная схема подключения
- Компания подключает корпоративный интернет с нужной скоростью, SLA и резервированием.
- Выделяется белый IP для VPN-шлюза или серверной инфраструктуры.
- На маршрутизаторе или межсетевом экране закрываются прямые внешние порты RDP, 1С, CRM и камер.
- Настраивается корпоративный VPN: Remote Access для сотрудников или Site-to-Site для филиалов.
- Пользователям выдаются индивидуальные учетные записи и права доступа.
- RDP и 1С остаются во внутренней сети и доступны только после VPN-подключения.
- Включается журнал подключений, резерв конфигураций и мониторинг доступности.
Что закрыть в первую очередь
Если в компании уже есть открытые порты, начинать стоит с самых рискованных сервисов. В первую очередь проверьте RDP, 1С, административные панели роутеров, серверов и камер, базы данных, файловые сервисы и CRM. Их нельзя оставлять доступными по принципу “там же пароль”. Пароль — это только один слой защиты, а не полноценная архитектура безопасности.
- закройте RDP от прямого доступа из интернета;
- уберите прямой доступ к 1С и серверу баз данных;
- закройте админ-панели сетевого оборудования;
- ограничьте доступ к камерам и видеорегистраторам;
- проверьте, какие порты открыты на белом IP;
- замените общие учетные записи на индивидуальные;
- разделите права для бухгалтерии, склада, руководства и подрядчиков;
- настройте журнал подключений и регулярный аудит.
Какие ошибки встречаются чаще всего
| Ошибка | Почему опасно | Как исправить |
|---|---|---|
| RDP открыт на внешний IP | Сервер видят сканеры и боты | Закрыть порт и пускать через VPN |
| Одна учетная запись для всех | Нельзя понять, кто подключался | Сделать индивидуальные логины |
| Нет разграничения прав | Пользователь видит лишние ресурсы | Выдать доступ по ролям |
| Нет резервного канала | При аварии офис теряет доступ к 1С | Добавить резерв и мониторинг |
Что важно для 1С
Для 1С важны не только безопасность, но и стабильность канала. Если бухгалтерия работает удаленно, а сервер находится в офисе или дата-центре, VPN должен быть достаточно быстрым и надежным. Нужны понятная маршрутизация, резервный канал, контроль задержек и поддержка пользователей.
Если 1С размещена на VPS/VDS или выделенном сервере, доступ к ней также лучше ограничивать. Сервер может находиться в дата-центре, но это не значит, что RDP или база должны быть открыты всем. Правильнее использовать VPN, список разрешенных адресов, фаервол и отдельные учетные записи.
Что важно для RDP
RDP лучше использовать как внутренний административный инструмент, а не публичный сервис. После подключения к VPN сотрудник или администратор может открыть RDP на нужный сервер, но снаружи этот сервер не виден. Это снижает количество попыток атак и делает инфраструктуру спокойнее для сопровождения.
Дополнительно стоит ограничить группы пользователей, отключить неиспользуемые учетные записи, обновлять сервер, вести журнал входов и использовать сложные пароли. Если возможно, добавьте многофакторную авторизацию на VPN-уровне.
Когда нужен Site-to-Site VPN
Если у компании несколько площадок — офис, склад, производство, магазин или дата-центр — удобнее настраивать Site-to-Site VPN. В этом случае площадки объединяются в единую защищенную сеть, а пользователям не нужно вручную подключаться к VPN на каждом рабочем месте. Так можно связать офис и склад, офис и ЦОД, филиалы и серверную инфраструктуру.
Для удаленных сотрудников подойдет Remote Access VPN. Это сценарий, когда бухгалтер, руководитель или инженер подключается к корпоративной сети из дома, командировки или филиала и получает доступ к 1С, RDP или CRM.
Чек-лист: как закрыть RDP и 1С
- проверьте, какие порты открыты на белом IP;
- закройте прямой доступ к RDP, 1С, CRM, камерам и серверам;
- настройте корпоративный VPN;
- выдайте пользователям индивидуальные учетные записи;
- разделите права доступа по ролям;
- оставьте RDP и 1С доступными только внутри VPN;
- включите журнал подключений;
- настройте резервный канал для критичных сервисов;
- регулярно обновляйте серверы и сетевое оборудование;
- проверяйте конфигурацию после изменений в сети.
Какие услуги БЛИЗКО помогут
Для такой задачи базой будет корпоративный интернет: оптоволоконный канал, резерв, SLA, мониторинг и поддержка. Для защиты доступа — корпоративный VPN, который объединяет офисы, склады, серверы, 1С, CRM, камеры и удаленных сотрудников.
Если серверы нужно разместить вне офиса, подойдут VPS/VDS или выделенные серверы. Для собственного оборудования можно использовать аренду стоек в ЦОД. Для комплексной инфраструктуры пригодятся резервное копирование, IP-телефония и комплексные решения.
Нужно закрыть RDP и 1С от интернета?
Настроим корпоративный VPN, белый IP, маршрутизацию, фаервол, резерв и безопасный доступ к 1С, RDP, CRM, камерам и серверам. Поможем убрать критичные сервисы из публичного интернета.
Подведем итог,
Закрыть RDP и 1С от доступа из интернета — значит убрать прямые публичные точки входа и заменить их управляемым VPN-доступом. Белый IP остается полезным для подключения и маршрутизации, но рабочие сервисы должны быть закрыты фаерволом, правами и VPN. Такая схема защищает серверы, 1С, CRM и офисную сеть, сохраняя удобный доступ для сотрудников и филиалов.
