Često sam čitao mišljenje da je držanje RDP (Remote Desktop Protocol) porta otvorenim za Internet veoma nesigurno i da ga ne treba činiti. Ali morate dati pristup RDP-u ili putem VPN-a, ili samo sa određenih "bijelih" IP adresa.
Administriram nekoliko Windows servera za male firme u kojima sam imao zadatak da obezbedim daljinski pristup Windows serveru za računovođe. Ovo je moderan trend - rad od kuće. Vrlo brzo sam shvatio da je mučenje VPN računovođa nezahvalan zadatak, a prikupljanje svih IP adresa za bijelu listu neće uspjeti, jer su IP adrese ljudi dinamične.
Stoga sam uzeo najjednostavniji put - proslijedio RDP port prema van. Da bi dobili pristup, računovođe sada trebaju pokrenuti RDP i unijeti ime hosta (uključujući port), korisničko ime i lozinku.
U ovom članku ću podijeliti svoje iskustvo (pozitivno i ne tako pozitivno) i preporuke.
Rizici
Šta rizikujete otvaranjem RDP porta?
1) Neovlašteni pristup osjetljivim podacima
Ako neko pogodi RDP lozinku, moći će da dobije podatke koje želite da zadržite privatnim: status računa, stanja, podatke o klijentima,...
2) Gubitak podataka
Na primjer, kao rezultat ransomware virusa.
Ili namjerna akcija napadača.
3) Gubitak radne stanice
Radnici moraju da rade, ali sistem je kompromitovan i treba ga ponovo instalirati/vratiti/konfigurisati.
4) Kompromitacija lokalne mreže
Ako je napadač dobio pristup Windows računaru, onda će sa ovog računara moći da pristupi sistemima koji su nedostupni spolja, sa Interneta. Na primjer, na dijeljenje datoteka, na mrežne štampače, itd.
Imao sam slučaj kada je Windows Server uhvatio ransomware
i ovaj ransomware je prvo šifrirao većinu datoteka na C: disku, a zatim počeo šifrirati datoteke na NAS-u preko mreže. Pošto je NAS bio Synology, sa konfigurisanim snimcima, vratio sam NAS za 5 minuta i ponovo instalirao Windows Server od nule.
Zapažanja i preporuke
Pratim Windows servere koristeći
Samo praćenje ne štiti, ali pomaže u određivanju potrebnih mjera.
Evo nekih zapažanja:
a) RDP će biti grubo forsiran.
Na jednom od servera sam instalirao RDP ne na standardni port 3389, već na 443 - pa, prerušit ću se u HTTPS. Vjerovatno je vrijedno promijeniti port sa standardnog, ali to neće donijeti mnogo koristi. Evo statistike sa ovog servera:
Vidi se da je za nedelju dana bilo skoro 400 neuspešnih pokušaja prijavljivanja preko RDP-a.
Vidi se da je bilo pokušaja prijavljivanja sa 55 IP adrese (neke IP adrese sam već blokirao).
Ovo direktno sugerira zaključak da trebate postaviti fail2ban, ali
Ne postoji takav uslužni program za Windows.
Postoji nekoliko napuštenih projekata na Githubu koji izgleda da to rade, ali nisam čak ni pokušao da ih instaliram:
Postoje i plaćene režije, ali ih nisam razmatrao.
Ako znate uslužni program otvorenog koda za ovu svrhu, podijelite ga u komentarima.
Ažuriranje: Komentari su sugerirali da je port 443 loš izbor, te je bolje izabrati visoke portove (32000+), jer se 443 češće skenira, a prepoznavanje RDP-a na ovom portu nije problem.
update: Komentari su sugerirali da takav uslužni program postoji:
b) Postoje određena korisnička imena koja napadači preferiraju
Vidi se da se pretraga vrši u rječniku s različitim nazivima.
Ali evo šta sam primetio: značajan broj pokušaja koristi ime servera kao prijavu. Preporuka: Nemojte koristiti isto ime za računar i korisnika. Štaviše, ponekad izgleda kao da pokušavaju nekako da raščlane ime servera: na primer, za sistem sa imenom DESKTOP-DFTHD7C, najviše pokušaja da se prijave su sa imenom DFTHD7C:
Shodno tome, ako imate DESKTOP-MARIA računar, vjerovatno ćete pokušavati da se prijavite kao MARIA korisnik.
Još jedna stvar koju sam primijetio iz dnevnika: na većini sistema većina pokušaja prijavljivanja je sa imenom “administrator”. I to nije bez razloga, jer u mnogim verzijama Windowsa ovaj korisnik postoji. Štaviše, ne može se izbrisati. Ovo pojednostavljuje zadatak napadačima: umjesto da pogađate ime i lozinku, trebate samo pogoditi lozinku.
Inače, sistem koji je uhvatio ransomware imao je korisnika Administrator i lozinku Murmansk#9. Još uvek nisam siguran kako je taj sistem hakovan, jer sam počeo da pratim odmah nakon tog incidenta, ali mislim da je to preterivanje verovatno.
Dakle, ako se administratorski korisnik ne može izbrisati, što onda učiniti? Možete ga preimenovati!
Preporuke iz ovog stava:
- nemojte koristiti korisničko ime u imenu računara
- provjerite da na sistemu nema korisnika administratora
- koristite jake lozinke
Dakle, već otprilike nekoliko godina gledam kako nekoliko Windows servera pod mojom kontrolom grubo forsiraju i bezuspješno.
Kako da znam da je neuspješno?
Jer na gornjim snimkama ekrana možete vidjeti da postoje zapisnici uspješnih RDP poziva, koji sadrže informacije:
- sa koje IP adrese
- sa kojeg kompjutera (ime hosta)
- korisničko ime
- GeoIP informacije
I tamo redovno provjeravam - anomalije nisu pronađene.
Usput, ako se određena IP adresa grubo forsira posebno teško, onda možete blokirati pojedinačne IP adrese (ili podmreže) na ovaj način u PowerShell-u:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
Inače, Elastic, pored Winlogbeata, ima i
Pa, konačne preporuke:
- Redovno pravite automatske sigurnosne kopije.
- instalirajte Sigurnosna ažuriranja na vrijeme
Bonus: lista od 50 korisnika koji su najčešće korišteni za pokušaje RDP prijave
"user.name: silazno"
računati
dfthd7c (ime hosta)
842941
winsrv1 (ime hosta)
266525
ADMINISTRATOR
180678
administrator
163842
Administrator
53541
michael
23101
server
21983
Steve
21936
Jovan
21927
Pavle
21913
prijem
21909
mikrofon
21899
ured
21888
skener
21887
skenirati
21867
David
21865
Kris
21860
vlasnik
21855
menadžer
21852
administrator
21841
Brian
21839
administrator
21837
oznaka
21824
osoblje
21806
ADMIN
12748
ROOT
7772
ADMINISTRATOR
7325
PODRŠKA
5577
PODRŠKA
5418
KORISNIK
4558
admin
2832
TEST
1928
mysql
1664
admin
1652
GOST
1322
KORISNIK1
1179
SKENER
1121
SCAN
1032
ADMINISTRATOR
842
ADMINISTRATOR1
525
BACKUP
518
MySqlAdmin
518
PRIJEM
490
KORISNIK2
466
TEMP
452
SQLADMIN
450
KORISNIK3
441
1
422
MENADŽER
418
VLASNIK
410
izvor: www.habr.com