Kanunay nakong nabasa ang opinyon nga ang pagbukas sa port sa RDP (Remote Desktop Protocol) sa Internet dili gyud luwas ug dili angay buhaton. Apan kinahanglan nimo nga hatagan ang access sa RDP pinaagi sa usa ka VPN, o gikan lamang sa pipila nga "puti" nga mga adres sa IP.
Nagdumala ko og ubay-ubay nga mga Windows Server alang sa gagmay nga mga kompaniya diin ako gitahasan sa paghatag og layo nga access sa Windows Server alang sa mga accountant. Kini ang modernong uso - nagtrabaho gikan sa balay. Dali ra, nakaamgo ko nga ang pagsakit sa mga accountant sa VPN usa ka walay pasalamat nga buluhaton, ug ang pagkolekta sa tanan nga mga IP alang sa puti nga lista dili molihok, tungod kay ang mga adres sa IP sa mga tawo dinamiko.
Busa, gikuha nako ang pinakasimple nga ruta - gipasa ang RDP port sa gawas. Aron maka-access, ang mga accountant karon kinahanglan nga modagan sa RDP ug mosulod sa hostname (lakip ang port), username ug password.
Niini nga artikulo akong ipaambit ang akong kasinatian (positibo ug dili kaayo positibo) ug mga rekomendasyon.
Mga risgo
Unsa ang imong peligro sa pag-abli sa RDP port?
1) Dili awtorisado nga pag-access sa sensitibo nga datos
Kung adunay makatag-an sa password sa RDP, makuha nila ang datos nga gusto nimo itago nga pribado: status sa account, balanse, data sa kustomer, ...
2) Pagkawala sa datos
Pananglitan, isip resulta sa usa ka ransomware virus.
O usa ka tinuyo nga aksyon sa usa ka tig-atake.
3) Pagkawala sa workstation
Ang mga trabahante kinahanglan nga magtrabaho, apan ang sistema nakompromiso ug kinahanglan nga i-install pag-usab / ibalik / i-configure.
4) Pagkompromiso sa lokal nga network
Kung ang usa ka tig-atake nakakuha og access sa usa ka Windows nga kompyuter, nan gikan niini nga kompyuter siya makahimo sa pag-access sa mga sistema nga dili ma-access gikan sa gawas, gikan sa Internet. Pananglitan, sa pag-file sa mga bahin, sa mga printer sa network, ug uban pa.
Adunay ako usa ka kaso diin ang Windows Server nakakuha usa ka ransomware
ug kini nga ransomware unang nag-encrypt sa kadaghanan sa mga file sa C: drive ug dayon nagsugod sa pag-encrypt sa mga file sa NAS sa network. Tungod kay ang NAS mao ang Synology, nga adunay mga snapshot nga gi-configure, akong gipahiuli ang NAS sa 5 minuto, ug gi-install pag-usab ang Windows Server gikan sa wala.
Mga Obserbasyon ug Rekomendasyon
Gimonitor nako ang mga Windows Server gamit , nga nagpadala sa mga troso sa ElasticSearch. Ang Kibana adunay daghang mga visualization, ug nagbutang usab ako usa ka naandan nga dashboard.
Ang pag-monitor mismo dili makapanalipod, apan kini makatabang sa pagtino sa gikinahanglan nga mga lakang.
Ania ang pipila ka obserbasyon:
a) RDP mahimong mapintas nga pinugos.
Sa usa sa mga server, gi-install nako ang RDP dili sa standard port 3389, apan sa 443 - maayo, itago nako ang akong kaugalingon ingon HTTPS. Tingali angayan nga usbon ang pantalan gikan sa standard, apan dili kini maayo. Ania ang mga estadistika gikan niini nga server:
Makita nga sa usa ka semana adunay hapit 400 nga wala molampos nga pagsulay sa pag-log in pinaagi sa RDP.
Makita nga adunay mga pagsulay sa pag-log in gikan sa 55 nga mga adres sa IP (ang ubang mga adres sa IP gibabagan na nako).
Kini direkta nga nagsugyot sa konklusyon nga kinahanglan nimo nga itakda ang fail2ban, apan
Walay ingon nga utility alang sa Windows.
Adunay usa ka magtiayon nga gibiyaan nga mga proyekto sa Github nga ingon og nagbuhat niini, apan wala pa nako gisulayan nga i-install kini:
Adunay usab bayad nga mga utilities, apan wala nako kini gikonsiderar.
Kung nahibal-an nimo ang usa ka bukas nga gigikanan nga gamit alang niini nga katuyoan, palihug ipaambit kini sa mga komento.
update: Ang mga komentaryo nagsugyot nga ang port 443 usa ka dili maayo nga pagpili, ug mas maayo nga mopili og taas nga mga pantalan (32000+), tungod kay ang 443 mas kanunay nga gi-scan, ug ang pag-ila sa RDP niini nga pantalan dili usa ka problema.
b) Adunay piho nga mga username nga gusto sa mga tig-atake
Makita nga ang pagpangita gihimo sa usa ka diksyonaryo nga adunay lainlaing mga ngalan.
Apan ania ang akong namatikdan: daghang mga pagsulay ang naggamit sa ngalan sa server ingon usa ka login. Rekomendasyon: Ayaw gamita ang parehas nga ngalan alang sa kompyuter ug sa tiggamit. Dugang pa, usahay ingon og sila naningkamot sa pag-parse sa ngalan sa server sa usa ka paagi: pananglitan, alang sa usa ka sistema nga adunay ngalan nga DESKTOP-DFTHD7C, ang kadaghanan nga pagsulay sa pag-log in mao ang ngalan nga DFTHD7C:
Ingon niana, kung ikaw adunay usa ka DESKTOP-MARIA nga kompyuter, mahimo nimong sulayan nga mag-log in ingon nga tiggamit sa MARIA.
Laing butang nga akong namatikdan gikan sa mga troso: sa kadaghanan sa mga sistema, kadaghanan sa mga pagsulay sa pag-log in adunay ngalan nga "administrator". Ug kini dili walay rason, tungod kay sa daghang mga bersyon sa Windows, kini nga user anaa. Dugang pa, dili kini mapapas. Gipasayon ββniini ang buluhaton sa mga tig-atake: imbes nga tag-an ang usa ka ngalan ug password, kinahanglan ra nimo nga tag-an ang password.
Pinaagi sa dalan, ang sistema nga nakakuha sa ransomware adunay user Administrator ug ang password nga Murmansk#9. Dili pa ako sigurado kung giunsa ang pag-hack sa kana nga sistema, tungod kay nagsugod ako sa pag-monitor pagkahuman sa kana nga insidente, apan sa akong hunahuna lagmit nga ang sobra nga pagpatay.
Busa kung ang Administrator user dili mapapas, nan unsa ang imong buhaton? Mahimo nimong ilisan ang ngalan niini!
Mga rekomendasyon gikan niini nga parapo:
- ayaw gamita ang username sa ngalan sa kompyuter
- siguroha nga walay Administrator user sa sistema
- paggamit ug lig-on nga mga password
Mao nga, nagtan-aw ako sa daghang mga Windows Server nga ubos sa akong kontrol nga gipugos sa mga usa ka tuig na karon, ug walaβy kalampusan.
Unsaon nako pagkahibalo nga kini wala magmalampuson?
Tungod kay sa mga screenshot sa ibabaw imong makita nga adunay mga troso sa malampuson nga mga tawag sa RDP, nga naglangkob sa impormasyon:
- diin gikan ang IP
- gikan sa computer (hostname)
- username
- Impormasyon sa GeoIP
Ug kanunay kong gisusi didto - walay nakita nga anomaliya.
Pinaagi sa dalan, kung ang usa ka partikular nga IP gipugos labi ka lisud, nan mahimo nimong babagan ang indibidwal nga mga IP (o mga subnet) sama niini sa PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockPinaagi sa dalan, ang Elastic, dugang sa Winlogbeat, aduna usab , nga makamonitor sa mga file ug proseso sa sistema. Adunay usab aplikasyon sa SIEM (Security Information & Event Management) sa Kibana. Gisulayan nako ang duha, apan wala'y nakita nga daghang kaayohan - ingon og ang Auditbeat mahimong mas mapuslanon alang sa mga sistema sa Linux, ug ang SIEM wala pa nagpakita kanako bisan unsa nga masabtan.
Aw, katapusang mga rekomendasyon:
- Paghimo regular nga awtomatikong pag-backup.
- i-install ang Mga Update sa Seguridad sa tukma sa panahon nga paagi
Bonus: lista sa 50 ka tiggamit nga kasagarang gigamit alang sa mga pagsulay sa pag-login sa RDP
"user.name: Nagpaubos"
Hinumdomi
dfthd7c (hostname)
842941
winsrv1 (hostname)
266525
ADMINISTRATOR
180678
administrator
163842
Administrator
53541
michael
23101
server
21983
steve
21936
john
21927
paul
21913
pagdawat
21909
mike
21899
buhatan sa
21888
scanner
21887
scan
21867
david
21865
Chris
21860
tag-iya
21855
manager
21852
administrator
21841
Brian
21839
administrador
21837
marka
21824
sungkod
21806
administrasyon
12748
gamut
7772
ADMINISTrador
7325
PAGPALUYO
5577
SUPORTA
5418
USER
4558
admin
2832
PAGSULAY
1928
mysql
1664
admin
1652
BISITA
1322
USER1
1179
SA SCAN
1121
I-scan
1032
ADMINISTRATOR
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
PAGDAWAT
490
USER2
466
TEMP
452
SQLADMIN
450
USER3
441
1
422
MANAGER
418
PAHAYAG
410
Source: www.habr.com