Ek lees dikwels die mening dat dit baie onveilig is om 'n RDP (Remote Desktop Protocol)-poort oop te hou vir die internet, en jy moet dit nie doen nie. En dit is nodig om toegang tot RDP te gee, hetsy deur VPN, of slegs vanaf sekere "wit" IP-adresse.
Ek administreer verskeie Windows Servers vir klein besighede waar ek opdrag gekry het om afstandtoegang tot Windows Server vir rekenmeesters te verskaf. Dit is die huidige tendens – werk van die huis af. Ek het vinnig besef dat dit 'n ondankbare taak is om VPN-rekenmeesters te torring, en om al die IP's vir die witlys in te samel, sal nie werk nie, want die IP-adresse van die mense is dinamies.
Daarom het ek die eenvoudigste manier gegaan - ek het die HOP-poort na buite aangestuur. Rekenmeesters moet nou RDP laat loop en die gasheernaam (insluitend poort), gebruikersnaam en wagwoord invoer om toegang te verkry.
In hierdie artikel sal ek my ervaring (positief en nie so nie) en aanbevelings deel.
Risiko's
Wat waag jy deur 'n HOP-poort oop te maak?
1) Ongemagtigde toegang tot sensitiewe data
As iemand die wagwoord vir RDP raai, kan hy die data kry wat jy privaat wil hou: rekeningstatus, saldo's, kliëntdata, ...
2) Verlies van data
Byvoorbeeld, as gevolg van die werking van 'n ransomware-virus.
Of die geteikende optrede van 'n aanvaller.
3) Verlies van werkstasie
Werknemers moet werk, en die stelsel is gekompromitteer, moet weer geïnstalleer / herstel / gekonfigureer word.
4) Die plaaslike netwerk kompromitteer
As 'n aanvaller toegang tot 'n Windows-rekenaar verkry het, dan sal hy vanaf hierdie rekenaar toegang kan verkry tot stelsels wat van buite af ontoeganklik is, vanaf die internet. Byvoorbeeld, na lêerballe, na netwerkdrukkers, ens.
Ek het 'n geval gehad waar Windows Server 'n ransomware opgespoor het
en hierdie ransomware het eers die meeste van die lêers op die C:-skyf geënkripteer en toe begin om die lêers op die NAS oor die netwerk te enkripteer. Aangesien die NAS Synology was, met foto's gekonfigureer, het ek die NAS binne 5 minute herstel en Windows Server van nuuts af weer geïnstalleer.
Waarnemings en aanbevelings
Ek monitor Windows Servers met , wat logs na ElasticSearch stuur. Kibana het verskeie visualisasies, en ek het ook 'n pasgemaakte dashboard vir myself opgestel.
Monitering self beskerm nie, maar help om die nodige maatreëls te bepaal.
Hier is 'n paar waarnemings:
a) HOP sal brute krag.
Op een van die bedieners het ek RDP nie op die standaardpoort 3389 gehang nie, maar op 443 - wel, ek sal myself as HTTPS vermom. Dit is waarskynlik die moeite werd om die poort van die standaard een te verander, maar dit is 'n bietjie nutteloos. Hier is die statistieke van daardie bediener:
Dit kan gesien word dat daar in 'n week byna 400 000 onsuksesvolle pogings was om via HOP in te gaan.
Dit kan gesien word dat daar pogings was om in te gaan vanaf 55 001 IP-adresse (sommige IP-adresse is reeds deur my geblokkeer).
Dit dui direk op die gevolgtrekking dat jy fail2ban moet installeer, maar
daar is nie so 'n nut vir Windows nie.
Daar is 'n paar verlate projekte op Github wat blykbaar dit doen, maar ek het nie eers probeer om dit te installeer nie:
Daar is ook betaalde nutsdienste, maar ek het dit nie oorweeg nie.
As jy 'n oop nut vir hierdie doel ken, deel dit in die kommentaar.
Werk: Die opmerkings het voorgestel dat poort 443 'n slegte keuse is, maar dit is beter om hoë poorte (32000+) te kies, want 443 word meer gereeld geskandeer, en die herkenning van RDP op hierdie poort is nie 'n probleem nie.
b) Daar is sekere gebruikersname wat aanvallers verkies
Daar kan gesien word dat die opsomming met verskillende name deur die woordeboek gaan.
Maar hier is wat ek opgemerk het: 'n aansienlike aantal pogings is die gebruik van die bedienernaam as 'n aanmelding. Aanbeveling: Moenie dieselfde naam vir die rekenaar en vir die gebruiker gebruik nie. Boonop lyk dit soms asof hulle die bedienernaam op een of ander manier probeer ontleed: byvoorbeeld, vir 'n stelsel genaamd DESKTOP-DFTHD7C, probeer die meeste om met die naam DFTHD7C in te voer:
Gevolglik, as jy 'n DESKTOP-MARIA-rekenaar het, sal daar waarskynlik pogings wees om as die MARIA-gebruiker aan te meld.
Nog iets wat ek opgemerk het uit die logs: op die meeste stelsels is die meeste pogings om aan te meld met die naam "administrateur". En dit is geen toeval nie, want in baie weergawes van Windows bestaan hierdie gebruiker. Boonop kan dit nie uitgevee word nie. Dit vergemaklik die taak vir aanvallers: in plaas daarvan om 'n naam en wagwoord te raai, hoef jy net die wagwoord te raai.
Terloops, die stelsel wat die losprysware van my gekry het, het 'n Administrateur-gebruiker en 'n Murmansk#9-wagwoord gehad. Ek is steeds nie seker hoe daardie stelsel gehack is nie, want ek het net ná daardie voorval begin moniteer, maar ek dink daardie bors is waarskynlik.
So as die administrateur gebruiker nie uitgevee kan word nie, wat om dan te doen? Jy kan dit hernoem!
Aanbevelings uit hierdie paragraaf:
- moenie die gebruikersnaam in die rekenaarnaam gebruik nie
- maak seker dat daar geen Administrateur gebruiker op die stelsel is nie
- gebruik sterk wagwoorde
So, ek kyk nou al 'n paar jaar na verskeie Windows Servers onder my beheer brute force, sonder sukses.
Hoe weet ek dit is nie suksesvol nie?
Omdat die skermkiekies hierbo wys dat daar logs van suksesvolle RDP-aanmeldings is wat inligting bevat:
- van watter IP
- vanaf watter rekenaar (gasheernaam)
- gebruiker naam
- GeoIP-inligting
En ek kyk gereeld daar – geen afwykings is gevind nie.
Terloops, as brute-forcing veral ywerig is van sommige IP's, dan kan jy individuele IP's (of subnette) soos volg in PowerShell blokkeer:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockTerloops, Elastic het, benewens Winlogbeat, ook , wat lêers en prosesse op die stelsel kan monitor. Daar is ook 'n SIEM-toepassing (Security Information & Event Management) in Kibana. Ek het albei probeer, maar ek het nie veel voordeel gesien nie - dit lyk of Auditbeat nuttiger sal wees vir Linux-stelsels, en SIEM het my nog niks verstaanbaar gewys nie.
En hier is die finale aanbevelings:
- maak gereelde outomatiese rugsteun.
- installeer sekuriteitsopdaterings betyds
Bonus: Lys van 50 gebruikers wat die meeste gebruik word vir RDP-aanmeldingspogings
"gebruikersnaam: dalende"
Tel
dfthd7c (gasheernaam)
842941
winsrv1 (gasheernaam)
266525
ADMINISTRATEUR
180678
administrateur
163842
administrateur
53541
Michael
23101
bediener
21983
Steve
21936
John
21927
Paul
21913
ontvangs
21909
mike
21899
kantoor
21888
skandeerder
21887
skandeer
21867
david
21865
Chris
21860
eienaar
21855
bestuurder
21852
administrateur
21841
Brian
21839
administrateur
21837
merk
21824
personeel
21806
ADMIN
12748
WORTEL
7772
ADMINISTRADEUR
7325
ONDERSTEUNING
5577
ONDERSTEUNING
5418
USER
4558
admin
2832
TOETS
1928
MySql
1664
admin
1652
GASTENBOEK
1322
GEBRUIKER1
1179
SKANNER
1121
SCAN
1032
ADMINISTRATEUR
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
ONTVANGS
490
GEBRUIKER2
466
TEMP
452
SQLADMIN
450
GEBRUIKER3
441
1
422
BESTUURDER
418
EIENAAR
410
Bron: will.com