Mən tez-tez RDP (Remote Desktop Protocol) portunu İnternetə açıq saxlamağın çox təhlükəli olduğu və bunu etməməli olduğu fikrini oxumuşam. Ancaq ya VPN vasitəsilə, ya da yalnız müəyyən “ağ” IP ünvanlarından RDP-yə giriş icazəsi verməlisiniz.
Mən mühasiblər üçün Windows Serverə uzaqdan girişi təmin etmək tapşırıldığı kiçik firmalar üçün bir neçə Windows Serverini idarə edirəm. Bu, müasir tendensiyadır - evdən işləmək. Çox tez başa düşdüm ki, VPN mühasiblərinə əzab vermək nankor bir işdir və ağ siyahı üçün bütün IP-ləri toplamaq işləməyəcək, çünki insanların IP ünvanları dinamikdir.
Buna görə də ən sadə yolu tutdum - RDP portunu xaricə yönləndirdim. Giriş əldə etmək üçün mühasiblər indi RDP-ni işə salmalı və host adını (port daxil olmaqla), istifadəçi adı və şifrəni daxil etməlidirlər.
Bu yazıda öz təcrübəmi (müsbət və o qədər də müsbət olmayan) və tövsiyələrimi bölüşəcəyəm.
Risklər
RDP portunu açmaqla nə risk edirsiniz?
1) Həssas məlumatlara icazəsiz giriş
Kimsə RDP parolunu təxmin edərsə, gizli saxlamaq istədiyiniz məlumatları əldə edə biləcəklər: hesab statusu, balanslar, müştəri məlumatları, ...
2) Məlumat itkisi
Məsələn, ransomware virusu nəticəsində.
Və ya təcavüzkarın qəsdən etdiyi hərəkət.
3) İş yerinin itirilməsi
İşçilərin işləməsi lazımdır, lakin sistem təhlükədədir və onu yenidən quraşdırmaq/bərpa etmək/konfiqurasiya etmək lazımdır.
4) Lokal şəbəkənin kompromissi
Təcavüzkar Windows kompüterinə giriş əldə edibsə, bu kompüterdən kənardan, İnternetdən əlçatmaz olan sistemlərə daxil ola biləcək. Məsələn, fayl paylaşımları, şəbəkə printerləri və s.
Windows Serverin bir ransomware tutduğu bir hadisəm var idi
və bu ransomware əvvəlcə C: diskindəki faylların əksəriyyətini şifrələdi və sonra NAS-dakı faylları şəbəkə üzərindən şifrələməyə başladı. NAS Synology olduğundan, anlıq görüntülər konfiqurasiya edilib, mən NAS-ı 5 dəqiqə ərzində bərpa etdim və Windows Serveri sıfırdan yenidən quraşdırdım.
Müşahidələr və Tövsiyələr
Windows Serverlərə nəzarət edirəm , jurnalları ElasticSearch-ə göndərir. Kibana bir neçə vizuallaşdırmaya malikdir və mən də fərdi tablosunu qurdum.
Monitorinq özü qorumur, lakin lazımi tədbirlərin müəyyən edilməsinə kömək edir.
Burada bəzi müşahidələr var:
a) RDP kobud şəkildə zorlanacaq.
Serverlərdən birində RDP-ni standart port 3389-da deyil, 443-də quraşdırdım - yaxşı, özümü HTTPS kimi gizlədəcəm. Yəqin ki, portu standart portdan dəyişməyə dəyər, lakin bu, çox yaxşı nəticə verməyəcək. Bu serverin statistikası:
Bir həftə ərzində RDP vasitəsilə daxil olmaq üçün demək olar ki, 400 uğursuz cəhdin edildiyini görmək olar.
Görünür ki, 55 İP ünvandan daxil olmaq cəhdləri olub (bəzi IP ünvanları artıq mənim tərəfimdən bloklanıb).
Bu, birbaşa fail2ban təyin etməli olduğunuz nəticəni təklif edir, lakin
Windows üçün belə bir yardım proqramı yoxdur.
Github-da bunu edən bir neçə tərk edilmiş layihə var, lakin mən onları quraşdırmağa belə cəhd etməmişəm:
Ödənişli kommunal xidmətlər də var, amma mən bunları nəzərə almamışam.
Bu məqsəd üçün açıq mənbəli yardım proqramını bilirsinizsə, lütfən şərhlərdə paylaşın.
Yeniləmələr: Şərhlər təklif etdi ki, 443-cü port pis seçimdir və yüksək portları (32000+) seçmək daha yaxşıdır, çünki 443 daha tez-tez skan edilir və bu portda RDP-nin tanınması problem deyil.
b) Təcavüzkarların üstünlük verdiyi müəyyən istifadəçi adları var
Görünür ki, axtarış müxtəlif adlarla lüğətdə aparılır.
Ancaq diqqətimi çəkən budur: əhəmiyyətli sayda cəhdlər server adından giriş kimi istifadə olunur. Tövsiyə: Kompüter və istifadəçi üçün eyni addan istifadə etməyin. Üstəlik, bəzən elə görünür ki, onlar hansısa yolla server adını təhlil etməyə çalışırlar: məsələn, DESKTOP-DFTHD7C adlı sistem üçün ən çox DFTHD7C adı ilə daxil olmaq cəhdləri olur:
Müvafiq olaraq, əgər sizin DESKTOP-MARIA kompüteriniz varsa, yəqin ki, siz MARIA istifadəçisi kimi daxil olmağa çalışacaqsınız.
Qeydlərdən diqqətimi çəkən başqa bir şey: əksər sistemlərdə daxil olmaq cəhdlərinin əksəriyyəti “administrator” adı ilə olur. Və bu səbəbsiz deyil, çünki Windows-un bir çox versiyalarında bu istifadəçi mövcuddur. Üstəlik, onu silmək olmaz. Bu, təcavüzkarlar üçün tapşırığı asanlaşdırır: ad və parol təxmin etmək əvəzinə, yalnız parolu təxmin etmək lazımdır.
Yeri gəlmişkən, ransomware-i tutan sistemdə Administrator istifadəçisi və Murmansk#9 parolu var idi. Bu sistemin necə sındırıldığına hələ də əmin deyiləm, çünki həmin hadisədən dərhal sonra izləməyə başladım, amma düşünürəm ki, həddindən artıq yüklənmə ehtimalı var.
Beləliklə, Administrator istifadəçisi silinə bilmirsə, onda nə etməlisiniz? Adını dəyişdirə bilərsiniz!
Bu paraqrafdan tövsiyələr:
- kompüter adında istifadəçi adından istifadə etməyin
- sistemdə Administrator istifadəçisinin olmadığına əmin olun
- güclü parollardan istifadə edin
Beləliklə, mən təxminən bir neçə ildir ki, nəzarətim altında olan bir neçə Windows Serverinin kobud zorakılığa məruz qaldığını və uğursuzluğunu izləyirəm.
Uğursuz olduğunu necə bilə bilərəm?
Çünki yuxarıdakı skrinşotlarda məlumatı ehtiva edən uğurlu RDP zənglərinin qeydlərinin olduğunu görə bilərsiniz:
- hansı IP-dən
- hansı kompüterdən (host adı)
- istifadəçi adı
- GeoIP məlumat
Mən orada mütəmadi olaraq yoxlayıram - heç bir anomaliya aşkar edilməyib.
Yeri gəlmişkən, əgər müəyyən bir IP xüsusilə sərt şəkildə zorlanırsa, PowerShell-də bu kimi fərdi IP-ləri (və ya alt şəbəkələri) bloklaya bilərsiniz:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockYeri gəlmişkən, Winlogbeat-a əlavə olaraq Elastic də var , sistemdəki faylları və prosesləri izləyə bilən. Kibana'da SIEM (Təhlükəsizlik Məlumatı və Hadisələrin İdarə Edilməsi) tətbiqi də mövcuddur. Mən hər ikisini sınadım, lakin çox fayda görmədim - deyəsən Auditbeat Linux sistemləri üçün daha faydalı olacaq və SIEM hələ mənə başa düşülən heç nə göstərməyib.
Yaxşı, son tövsiyələr:
- Daimi avtomatik ehtiyat nüsxələrini çıxarın.
- Təhlükəsizlik Yeniləmələrini vaxtında quraşdırın
Bonus: RDP giriş cəhdləri üçün ən çox istifadə edilən 50 istifadəçinin siyahısı
"user.name: Azalan"
Saymaq
dfthd7c (host adı)
842941
winsrv1 (host adı)
266525
İDARƏÇİ
180678
administrator
163842
inzibatçı
53541
michael
23101
server
21983
steve
21936
john
21927
paul
21913
qəbul
21909
mike
21899
ofis
21888
oxuyucusu
21887
tara
21867
david
21865
chris
21860
sahib
21855
meneceri
21852
Administrateur
21841
brian
21839
inzibatçı
21837
qeyd
21824
heyət
21806
ADMİN
12748
KÖK
7772
ADMINİSTRATOR
7325
DƏSTƏK
5577
DƏSTƏK
5418
İstifadəçi
4558
admin
2832
TEST
1928
mysql
1664
Admin
1652
QONAQ
1322
İstifadəçi 1
1179
Skaner
1121
SCAN
1032
ADMINİSTRATOR
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
QƏBUL
490
İstifadəçi 2
466
Temp
452
SQLADMIN
450
İstifadəçi 3
441
1
422
MANAGER
418
SAHİBİNİ
410
Mənbə: www.habr.com