غالبًا ما أقرأ الرأي القائل بأن الاحتفاظ بمنفذ RDP (بروتوكول سطح المكتب البعيد) مفتوحًا على الإنترنت أمر غير آمن للغاية ، ويجب ألا تفعل ذلك. ومن الضروري منح الوصول إلى RDP إما من خلال VPN ، أو فقط من بعض عناوين IP "البيضاء".
أدير العديد من خوادم Windows للشركات الصغيرة حيث تم تكليفي بتوفير الوصول عن بُعد إلى Windows Server للمحاسبين. هذا هو الاتجاه الحالي - العمل من المنزل. بسرعة كبيرة ، أدركت أن تعذيب محاسبي VPN هي مهمة غير مجدية ، وأن جمع كل عناوين IP الخاصة بالقائمة البيضاء لن ينجح ، لأن عناوين IP للأشخاص ديناميكية.
لذلك ، ذهبت بأبسط طريقة - قمت بإعادة توجيه منفذ RDP إلى الخارج. يحتاج المحاسبون الآن إلى تشغيل RDP وإدخال اسم المضيف (بما في ذلك المنفذ) واسم المستخدم وكلمة المرور للوصول.
في هذه المقالة سوف أشارك تجربتي (الإيجابية وليست كذلك) والتوصيات.
المخاطر
ما الذي تخاطر به من خلال فتح منفذ RDP؟
1) الوصول غير المصرح به إلى البيانات الحساسة
إذا خمن شخص ما كلمة المرور لـ RDP ، فيمكنه الحصول على البيانات التي تريد الاحتفاظ بها خاصة: حالة الحساب ، والأرصدة ، وبيانات العملاء ، ...
2) فقدان البيانات
على سبيل المثال ، نتيجة لعمل فيروس رانسومواري.
أو العمل المستهدف لمهاجم.
3) فقدان محطة العمل
يحتاج الموظفون إلى العمل ، ويتم اختراق النظام ، ويجب إعادة تثبيته / استعادته / تكوينه.
4) اختراق الشبكة المحلية
إذا تمكن المهاجم من الوصول إلى جهاز كمبيوتر يعمل بنظام Windows ، فسيتمكن من هذا الكمبيوتر من الوصول إلى الأنظمة التي لا يمكن الوصول إليها من الخارج ، من الإنترنت. على سبيل المثال ، لكرات الملفات ، إلى طابعات الشبكة ، إلخ.
كانت لدي حالة حيث اكتشف Windows Server برنامج فدية
وقام برنامج الفدية هذا أولاً بتشفير معظم الملفات الموجودة على محرك الأقراص C: ثم بدأ في تشفير الملفات الموجودة على NAS عبر الشبكة. نظرًا لأن NAS كان Synology ، مع تكوين اللقطات ، فقد استعدت NAS في 5 دقائق ، وأعدت تثبيت Windows Server من البداية.
ملاحظات وتوصيات
أنا أراقب خوادم Windows باستخدام ، والتي ترسل السجلات إلى ElasticSearch. لدى Kibana العديد من المرئيات ، وقمت أيضًا بإعداد لوحة تحكم مخصصة لنفسي.
المراقبة نفسها لا تحمي ، لكنها تساعد في تحديد التدابير اللازمة.
فيما يلي بعض الملاحظات:
أ) سوف RDP القوة الغاشمة.
على أحد الخوادم ، قمت بتعليق RDP ليس على المنفذ القياسي 3389 ، ولكن على 443 - حسنًا ، سأخفي نفسي باسم HTTPS. ربما يستحق تغيير المنفذ عن المنفذ القياسي ، لكنه عديم الفائدة قليلاً. فيما يلي الإحصائيات من هذا الخادم:
يمكن ملاحظة أنه في غضون أسبوع كان هناك ما يقرب من 400 محاولة فاشلة للدخول عبر RDP.
يمكن ملاحظة أنه كانت هناك محاولات للدخول من 55،001 عنوان IP (تم بالفعل حظر بعض عناوين IP بواسطتي).
يشير هذا بشكل مباشر إلى الاستنتاج بأنك تحتاج إلى تثبيت fail2ban ، ولكن
لا توجد فائدة من هذا القبيل لنظام التشغيل Windows.
هناك مشروعان مهجوران على Github يبدو أنهما يقومان بذلك ، لكني لم أحاول حتى تثبيتهما:
هناك أيضًا مرافق مدفوعة الأجر ، لكنني لم أفكر فيها.
إذا كنت تعرف أداة مساعدة مفتوحة لهذا الغرض ، فشاركها في التعليقات.
تحديث: أشارت التعليقات إلى أن المنفذ 443 يعد اختيارًا سيئًا ، ولكن من الأفضل اختيار منافذ عالية (32000+) ، لأنه يتم فحص 443 بشكل متكرر ، ولا يمثل التعرف على RDP على هذا المنفذ مشكلة.
تحديث: تشير التعليقات إلى وجود مثل هذه الأداة:
ب) هناك أسماء مستخدمين معينة يفضلها المهاجمون
يمكن ملاحظة أن التعداد يمر عبر القاموس بأسماء مختلفة.
ولكن هذا ما لاحظته: عدد كبير من المحاولات هو استخدام اسم الخادم لتسجيل الدخول. توصية: لا تستخدم نفس الاسم للكمبيوتر وللمستخدم. علاوة على ذلك ، يبدو أحيانًا أنهم يحاولون بطريقة ما تحليل اسم الخادم: على سبيل المثال ، بالنسبة لنظام يسمى DESKTOP-DFTHD7C ، فإن معظم محاولات الإدخال بالاسم DFTHD7C:
وفقًا لذلك ، إذا كان لديك كمبيوتر DESKTOP-MARIA ، فمن المحتمل أن تكون هناك محاولات لتسجيل الدخول كمستخدم MARIA.
شيء آخر لاحظته من السجلات: في معظم الأنظمة ، تتم معظم محاولات تسجيل الدخول باسم "المسؤول". وهذا ليس من قبيل الصدفة ، لأنه في العديد من إصدارات Windows ، يوجد هذا المستخدم. علاوة على ذلك ، لا يمكن حذفه. يعمل هذا على تبسيط المهمة للمهاجمين: فبدلاً من تخمين اسم وكلمة مرور ، ما عليك سوى تخمين كلمة المرور.
بالمناسبة ، كان لدى النظام الذي اكتشف برنامج الفدية مني مستخدم مسؤول وكلمة مرور مورمانسك # 9. ما زلت غير متأكد من كيفية اختراق هذا النظام ، لأنني بدأت في المراقبة بعد تلك الحادثة مباشرة ، لكنني أعتقد أن هذا التمزق محتمل.
لذلك إذا كان لا يمكن حذف المستخدم المسؤول ، فماذا تفعل؟ يمكنك إعادة تسميته!
توصيات من هذه الفقرة:
- لا تستخدم اسم المستخدم في اسم الكمبيوتر
- تأكد من عدم وجود مستخدم مسؤول على النظام
- استخدم كلمات مرور قوية
لذلك ، كنت أشاهد العديد من خوادم Windows الخاضعة لسيطرة القوة الغاشمة لبضع سنوات حتى الآن ، دون نجاح.
كيف اعرف انها ليست ناجحة؟
نظرًا لأن لقطات الشاشة أعلاه تُظهر وجود سجلات لعمليات تسجيل دخول RDP الناجحة والتي تحتوي على معلومات:
- من أي IP
- من أي جهاز كمبيوتر (اسم المضيف)
- имя пользователя
- معلومات GeoIP
وأنا أنظر هناك بانتظام - لم يتم العثور على أي شذوذ.
بالمناسبة ، إذا كان التأثير الغاشم مجتهدًا بشكل خاص من بعض عناوين IP ، فيمكنك حينئذٍ حظر عناوين IP الفردية (أو الشبكات الفرعية) مثل هذا في PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockبالمناسبة ، Elastic ، بالإضافة إلى Winlogbeat ، لديه أيضًا ، والتي يمكنها مراقبة الملفات والعمليات على النظام. يوجد أيضًا تطبيق SIEM (معلومات الأمان وإدارة الأحداث) في كيبانا. لقد جربت كليهما ، لكني لم أجد فائدة كبيرة - يبدو أن Auditbeat سيكون أكثر فائدة لأنظمة Linux ، ولم تظهر لي SIEM أي شيء واضح حتى الآن.
وإليكم التوصيات النهائية:
- عمل نسخ احتياطية تلقائية منتظمة.
- تثبيت تحديثات الأمان في الوقت المناسب
المكافأة: قائمة تضم 50 مستخدمًا الأكثر استخدامًا في محاولات تسجيل الدخول إلى RDP
"اسم المستخدم: تنازلي"
العد التنازلي
dfthd7c (اسم المضيف)
842941
winsrv1 (اسم المضيف)
266525
مدير
180678
مدير
163842
المسؤول
53541
مايكل
23101
الخادم
21983
ستيف
21936
جون
21927
بول
21913
استقبال
21909
مايك
21899
مكتب
21888
الماسح الضوئي
21887
تفحص
21867
ديفيد
21865
كريس
21860
كاتوا ديلز
21855
مدير
21852
administrateur
21841
بريان
21839
مدير
21837
علامة
21824
العاملين
21806
مشرف
12748
ROOT
7772
مدير
7325
الدعم
5577
SOPORTE
5418
USER
4558
مشرف
2832
الاختبار
1928
مسقل
1664
إداري
1652
الذهبي
1322
المستخدم 1
1179
SCANNER
1121
SCAN
1032
اداري
842
مشرف 1
525
BACKUP
518
MySqlAdmin
518
استقبال
490
المستخدم 2
466
مؤقت
452
سقلادمين
450
المستخدم 3
441
1
422
مدير
418
OWNER
410
المصدر: www.habr.com
