የ RDP (የርቀት ዴስክቶፕ ፕሮቶኮል) ወደብ ለበይነመረብ ክፍት ማድረግ በጣም ደህንነቱ የተጠበቀ ነው እና መደረግ የለበትም የሚለውን አስተያየት ብዙ ጊዜ አንብቤያለሁ። ግን ለ RDP በቪፒኤን በኩል ወይም ከተወሰኑ "ነጭ" አይፒ አድራሻዎች ብቻ መስጠት ያስፈልግዎታል።
ብዙ የዊንዶውስ ሰርቨሮችን ለአካውንታንት የ Windows Server የርቀት መዳረሻ የመስጠት ኃላፊነት ለተሰጠኝ ትናንሽ ድርጅቶች አስተዳድራለሁ። ይህ ዘመናዊ አዝማሚያ ነው - ከቤት ውስጥ መሥራት. በፍጥነት ፣ የቪፒኤን የሂሳብ ባለሙያዎችን ማሰቃየት ምስጋና ቢስ ተግባር እንደሆነ ተገነዘብኩ ፣ እና ሁሉንም አይፒዎች ለነጭ ዝርዝር መሰብሰብ አይሰራም ፣ ምክንያቱም የሰዎች አይፒ አድራሻዎች ተለዋዋጭ ናቸው።
ስለዚህ, በጣም ቀላሉን መንገድ ወሰድኩ - የ RDP ወደብ ወደ ውጭ አስተላልፏል. መዳረሻ ለማግኘት፣ የሒሳብ ባለሙያዎች አሁን RDP ን ማስኬድ እና የአስተናጋጅ ስም (ወደብ ጨምሮ)፣ የተጠቃሚ ስም እና የይለፍ ቃል ማስገባት አለባቸው።
በዚህ ጽሑፍ ውስጥ የእኔን ልምድ (አዎንታዊ እና በጣም አወንታዊ አይደለም) እና ምክሮችን እካፈላለሁ.
አደጋዎች
የ RDP ወደብን በመክፈት ምን አደጋ ላይ ናቸው?
1) ስሱ መረጃዎችን ለማግኘት ያልተፈቀደ መዳረሻ
አንድ ሰው የRDP ይለፍ ቃል ከገመተ ሚስጥራዊ ለማድረግ የሚፈልጉትን ውሂብ ያገኛሉ፡ የመለያ ሁኔታ፣ ቀሪ ሒሳቦች፣ የደንበኛ ውሂብ፣...
2) የውሂብ መጥፋት
ለምሳሌ፣ በራንሰምዌር ቫይረስ የተነሳ።
ወይም ሆን ተብሎ በአጥቂ የተወሰደ እርምጃ።
3) የሥራ ቦታ መጥፋት
ሰራተኞች መስራት አለባቸው, ነገር ግን ስርዓቱ ተበላሽቷል እና እንደገና መጫን / መመለስ / ማዋቀር ያስፈልገዋል.
4) የአካባቢያዊ አውታረ መረብን መጣስ
አንድ አጥቂ የዊንዶው ኮምፒዩተርን ማግኘት ከቻለ ከዚያ ከዚህ ኮምፒዩተር ከውጭ የማይደረስ ስርዓቶችን ከበይነመረቡ ማግኘት ይችላል። ለምሳሌ ማጋራቶችን ፋይል ለማድረግ፣ ለአውታረ መረብ አታሚዎች፣ ወዘተ.
ዊንዶውስ ሰርቨር ራንሰምዌር የያዘበት ጉዳይ ነበረኝ።
እና ይህ ራንሰምዌር መጀመሪያ በ C: drive ላይ ያሉትን አብዛኛዎቹን ፋይሎች ኢንክሪፕት አደረገ እና ከዚያም በ NAS ላይ ያሉትን ፋይሎች በአውታረ መረቡ ላይ ማመስጠር ጀመረ። NAS ሲኖሎጂ ስለነበር፣ በቅጽበተ-ፎቶዎች የተዋቀሩ፣ NASን በ5 ደቂቃ ውስጥ መልሼ ዊንዶውስ አገልጋይን ከባዶ ጫንኩት።
ምልከታዎች እና ምክሮች
ዊንዶውስ ሰርቨሮችን ተጠቅሜ እከታተላለሁ። መዝገቦችን ወደ ElasticSearch የሚልክ። ኪባና በርካታ እይታዎች አሏት እና ብጁ ዳሽቦርድ አዘጋጅቻለሁ።
ክትትል በራሱ አይከላከልም, ነገር ግን አስፈላጊ እርምጃዎችን ለመወሰን ይረዳል.
አንዳንድ ምልከታዎች እነሆ፡-
ሀ) RDP በግዳጅ ይገደዳል።
ከአገልጋዮቹ በአንዱ ላይ RDPን የጫንኩት በመደበኛ ወደብ 3389 ላይ ሳይሆን በ443 ላይ ነው - እራሴን እንደ HTTPS እለውጣለሁ። ምናልባት ወደቡን ከመደበኛው መቀየር ጠቃሚ ነው, ነገር ግን ብዙም አይጠቅምም. የዚህ አገልጋይ ስታቲስቲክስ እነሆ፡-
በአንድ ሳምንት ውስጥ በRDP በኩል ለመግባት ወደ 400 የሚጠጉ ያልተሳኩ ሙከራዎች እንደነበሩ ማየት ይቻላል።
ከ 55 አይፒ አድራሻዎች ለመግባት ሙከራዎች እንደነበሩ ማየት ይቻላል (አንዳንድ የአይፒ አድራሻዎች ቀድሞውኑ በእኔ ታግደዋል)።
ይህ በቀጥታ fail2ban ማዘጋጀት እንደሚያስፈልግህ መደምደሚያ ይጠቁማል, ነገር ግን
ለዊንዶውስ እንዲህ አይነት መገልገያ የለም.
በ Github ላይ ይህን የሚመስሉ ሁለት የተተዉ ፕሮጀክቶች አሉ፣ ግን እነሱን ለመጫን እንኳን አልሞከርኩም፡-
የሚከፈልባቸው መገልገያዎችም አሉ, ነገር ግን እኔ አላጤንኳቸውም.
ለዚህ ዓላማ ክፍት ምንጭ መገልገያ ካወቁ እባክዎን በአስተያየቶቹ ውስጥ ያካፍሉት።
አዘምንአስተያየቶቹ እንደሚጠቁሙት ወደብ 443 መጥፎ ምርጫ ነው, እና ከፍተኛ ወደቦች (32000+) መምረጥ የተሻለ ነው, ምክንያቱም 443 ብዙ ጊዜ ይቃኛል, እና በዚህ ወደብ ላይ RDP ን ማወቅ ችግር አይደለም.
ለ) አጥቂዎች የሚመርጡት የተወሰኑ የተጠቃሚ ስሞች አሉ።
ፍለጋው በተለያየ ስም መዝገበ ቃላት ውስጥ እንደሚካሄድ ማየት ይቻላል.
ነገር ግን እኔ የታዘብኩት ነገር ይኸውና፡ ከፍተኛ ቁጥር ያላቸው ሙከራዎች የአገልጋዩን ስም እንደ መግቢያ እየተጠቀሙ ነው። ምክር፡ ለኮምፒዩተር እና ለተጠቃሚው ተመሳሳይ ስም አይጠቀሙ። ከዚህም በላይ አንዳንድ ጊዜ የአገልጋዩን ስም በሆነ መንገድ ለመተንተን የሚሞክሩ ይመስላሉ። ለምሳሌ፣ DESKTOP-DFTHD7C ለሚለው ስርዓት፣ ለመግባት የሚሞክሩት ብዙ ሙከራዎች በ DFTHD7C ስም ነው።
በዚህ መሰረት፣ DESKTOP-MARIA ኮምፒውተር ካለህ ምናልባት እንደ MARIA ተጠቃሚ ለመግባት እየሞከርክ ይሆናል።
ሌላው ነገር ከመዝገቦቹ ውስጥ ያየሁት ነገር: በአብዛኛዎቹ ስርዓቶች, አብዛኛው የመግባት ሙከራዎች "አስተዳዳሪ" በሚለው ስም ነው. እና ይሄ ያለ ምክንያት አይደለም, ምክንያቱም በብዙ የዊንዶውስ ስሪቶች ውስጥ ይህ ተጠቃሚ አለ. ከዚህም በላይ ሊሰረዝ አይችልም. ይህ ለአጥቂዎች ተግባሩን ቀላል ያደርገዋል፡ ስም እና የይለፍ ቃል ከመገመት ይልቅ የይለፍ ቃሉን ብቻ መገመት ያስፈልግዎታል።
በነገራችን ላይ ራንሰምዌርን የያዘው ሲስተም የተጠቃሚው አስተዳዳሪ እና የይለፍ ቃል Murmansk #9 ነበረው። አሁንም ያ ስርዓት እንዴት እንደተጠለፈ እርግጠኛ አይደለሁም፣ ምክንያቱም ከዚያ ክስተት በኋላ መከታተል ጀመርኩ፣ ነገር ግን ከልክ በላይ መብዛት ሊሆን የሚችል ይመስለኛል።
ስለዚህ የአስተዳዳሪው ተጠቃሚ ሊሰረዝ የማይችል ከሆነ ምን ማድረግ አለብዎት? እንደገና መሰየም ትችላለህ!
ከዚህ አንቀጽ የተሰጡ ምክሮች፡-
- የተጠቃሚ ስም በኮምፒዩተር ስም አይጠቀሙ
- በስርዓቱ ላይ ምንም አስተዳዳሪ ተጠቃሚ አለመኖሩን ያረጋግጡ
- ጠንካራ የይለፍ ቃላትን ተጠቀም
ስለዚህ፣ በእኔ ቁጥጥር ስር ያሉ በርካታ የዊንዶውስ ሰርቨሮች ለሁለት አመታት ያህል በጭካኔ ሲገደዱ እና ሳይሳካላቸው እየተመለከትኩ ነው።
ያልተሳካ መሆኑን እንዴት አውቃለሁ?
ምክንያቱም ከላይ ባለው ቅጽበታዊ ገጽ እይታዎች ውስጥ መረጃውን የያዘው የተሳካላቸው የRDP ጥሪዎች ምዝግብ ማስታወሻዎች እንዳሉ ማየት ይችላሉ፡-
- ከየትኛው አይፒ
- ከየትኛው ኮምፒውተር (የአስተናጋጅ ስም)
- የተጠቃሚ ስም
- የጂኦአይፒ መረጃ
እና እዚያ አዘውትሬ አረጋግጣለሁ - ምንም ያልተለመዱ ነገሮች አልተገኙም።
በነገራችን ላይ፣ አንድ የተወሰነ አይፒ በተለይ በኃይል እየተገደደ ከሆነ እንደዚህ ያሉ ነጠላ አይፒዎችን (ወይም ንዑስ አውታረ መረቦችን) በPowerShell ውስጥ ማገድ ይችላሉ።
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockበነገራችን ላይ ኢላስቲክ ከዊንሎግቤአት በተጨማሪ አለው በስርዓቱ ላይ ፋይሎችን እና ሂደቶችን መከታተል የሚችል. በኪባና ውስጥ የሲኢኤም (የደህንነት መረጃ እና የክስተት አስተዳደር) መተግበሪያም አለ። ሁለቱንም ሞክሬያለሁ፣ ግን ብዙ ጥቅም አላየሁም - ኦዲትቢት ለሊኑክስ ስርዓቶች የበለጠ ጠቃሚ የሆነ ይመስላል፣ እና SIEM እስካሁን ምንም የሚታወቅ ነገር አላሳየኝም።
ደህና፣ የመጨረሻ ምክሮች፡-
- መደበኛ አውቶማቲክ ምትኬዎችን ያድርጉ።
- የደህንነት ዝመናዎችን በጊዜው ይጫኑ
ጉርሻ፡ ብዙ ጊዜ ለRDP የመግባት ሙከራዎች ያገለገሉ የ50 ተጠቃሚዎች ዝርዝር
"user.name: መውረድ"
ቁጠር
dfthd7c (የአስተናጋጅ ስም)
842941
winsrv1 (የአስተናጋጅ ስም)
266525
አስተዳዳሪ
180678
አስተዳዳሪ
163842
አስተዳዳሪ
53541
ሚካኤል
23101
አገልጋይ
21983
ስቴቨ
21936
ዮሐንስ
21927
ፖል
21913
መቀበያ
21909
ማይክ
21899
ቢሮ
21888
ስካነር
21887
ቅኝት
21867
ዳዊት
21865
ክሪስ
21860
ባለቤት
21855
አስተዳዳሪ
21852
አስተዳዳሪ
21841
Brian
21839
አስተዳዳሪ
21837
ምልክት
21824
ሠራተኞች
21806
አስተዳዳሪ
12748
ሥር መስደድ
7772
አስተዳዳሪ
7325
ድጋፍ
5577
ድጋፍ።
5418
USER
4558
አስተዳዳሪ
2832
ሙከራ
1928
MySql
1664
የአስተዳዳሪ
1652
የሚያድረው
1322
ተጠቃሚ 1
1179
ተንሸራታች
1121
SCAN
1032
አስተዳዳሪ
842
ADMIN1
525
ምትኬ
518
MySqlAdmin
518
መቀበል
490
ተጠቃሚ 2
466
TEMP
452
SQLADMIN
450
ተጠቃሚ 3
441
1
422
አስተዳዳሪ
418
OWNER
410
ምንጭ: hab.com