Rwyf wedi darllen y farn yn aml bod cadw porthladd RDP (Protocol Penbwrdd Pell) yn agored i'r Rhyngrwyd yn anniogel iawn ac na ddylid ei wneud. Ond mae angen i chi roi mynediad i RDP naill ai trwy VPN, neu dim ond o rai cyfeiriadau IP “gwyn”.
Rwy'n gweinyddu sawl Gweinyddwr Windows ar gyfer cwmnïau bach lle rwyf wedi cael y dasg o ddarparu mynediad o bell i Windows Server ar gyfer cyfrifwyr. Dyma'r duedd fodern - gweithio o gartref. Yn eithaf cyflym, sylweddolais fod poenydio cyfrifwyr VPN yn dasg ddiddiolch, ac ni fydd casglu'r holl IPs ar gyfer y rhestr wen yn gweithio, oherwydd mae cyfeiriadau IP pobl yn ddeinamig.
Felly, cymerais y llwybr symlaf - anfon y porthladd RDP ymlaen i'r tu allan. I gael mynediad, mae angen i gyfrifwyr nawr redeg RDP a nodi'r enw gwesteiwr (gan gynnwys y porth), yr enw defnyddiwr a'r cyfrinair.
Yn yr erthygl hon byddaf yn rhannu fy mhrofiad (cadarnhaol a ddim mor gadarnhaol) ac argymhellion.
Risgiau
Beth ydych chi'n ei beryglu trwy agor y porthladd RDP?
1) Mynediad anawdurdodedig i ddata sensitif
Os bydd rhywun yn dyfalu'r cyfrinair RDP, bydd yn gallu cael data rydych chi am ei gadw'n breifat: statws cyfrif, balansau, data cwsmeriaid, ...
2) Colli data
Er enghraifft, o ganlyniad i firws ransomware.
Neu weithred fwriadol gan ymosodwr.
3) Colli gweithfan
Mae angen i weithwyr weithio, ond mae'r system mewn perygl ac mae angen ei hailosod / adfer / ffurfweddu.
4) Cyfaddawdu ar y rhwydwaith lleol
Os yw ymosodwr wedi cael mynediad i gyfrifiadur Windows, yna o'r cyfrifiadur hwn bydd yn gallu cyrchu systemau sy'n anhygyrch o'r tu allan, o'r Rhyngrwyd. Er enghraifft, i rannu ffeiliau, i argraffwyr rhwydwaith, ac ati.
Roedd gen i achos lle daliodd Windows Server ransomware
ac amgryptio'r ransomware hwn yn gyntaf y rhan fwyaf o'r ffeiliau ar y gyriant C: ac yna dechreuodd amgryptio'r ffeiliau ar yr NAS dros y rhwydwaith. Gan mai Synology oedd yr NAS, gyda chipluniau wedi'u ffurfweddu, fe wnes i adfer yr NAS mewn 5 munud, ac ailosod Windows Server o'r dechrau.
Sylwadau ac Argymhellion
Rwy'n monitro Gweinyddwyr Windows gan ddefnyddio , sy'n anfon logiau i ElasticSearch. Mae gan Kibana sawl delweddiad, a sefydlais ddangosfwrdd wedi'i deilwra hefyd.
Nid yw monitro ei hun yn amddiffyn, ond mae'n helpu i bennu'r mesurau angenrheidiol.
Dyma rai sylwadau:
a) Bydd y Cynllun Datblygu Gwledig yn cael ei orfodi'n ysbeidiol.
Ar un o'r gweinyddwyr, gosodais RDP nid ar y porthladd safonol 3389, ond ar 443 - wel, byddaf yn cuddio fy hun fel HTTPS. Mae'n debyg ei bod yn werth newid y porthladd o'r un safonol, ond ni fydd yn gwneud llawer o les. Dyma'r ystadegau o'r gweinydd hwn:
Gellir gweld bod bron i 400 o ymdrechion aflwyddiannus wedi bod mewn wythnos i fewngofnodi drwy'r Cynllun Datblygu Gwledig.
Gellir gweld bod ymdrechion i fewngofnodi o 55 o gyfeiriadau IP (roedd rhai cyfeiriadau IP eisoes wedi'u rhwystro gennyf i).
Mae hyn yn uniongyrchol yn awgrymu y casgliad bod angen i chi osod fail2ban, ond
Nid oes cyfleustodau o'r fath ar gyfer Windows.
Mae cwpl o brosiectau wedi'u gadael ar Github sy'n ymddangos eu bod yn gwneud hyn, ond nid wyf hyd yn oed wedi ceisio eu gosod:
Mae yna hefyd gyfleustodau taledig, ond nid wyf wedi eu hystyried.
Os ydych chi'n gwybod am gyfleustodau ffynhonnell agored at y diben hwn, rhannwch ef yn y sylwadau.
Diweddariad: Awgrymodd y sylwadau fod porthladd 443 yn ddewis gwael, ac mae'n well dewis porthladdoedd uchel (32000+), oherwydd bod 443 yn cael ei sganio'n amlach, ac nid yw cydnabod RDP ar y porthladd hwn yn broblem.
b) Mae rhai enwau defnyddwyr y mae'n well gan ymosodwyr
Gellir gweld bod y chwiliad yn cael ei wneud mewn geiriadur ag enwau gwahanol.
Ond dyma beth sylwais: mae nifer sylweddol o ymdrechion yn defnyddio enw'r gweinydd fel mewngofnodi. Argymhelliad: Peidiwch â defnyddio'r un enw ar gyfer y cyfrifiadur a'r defnyddiwr. Ar ben hynny, weithiau mae'n edrych fel eu bod yn ceisio dosrannu enw'r gweinydd rywsut: er enghraifft, ar gyfer system gyda'r enw DESKTOP-DFTHD7C, mae'r ymdrechion mwyaf i fewngofnodi gyda'r enw DFTHD7C:
Yn unol â hynny, os oes gennych gyfrifiadur DESKTOP-MARIA, mae'n debyg y byddwch chi'n ceisio mewngofnodi fel defnyddiwr MARIA.
Peth arall sylwais o'r logiau: ar y rhan fwyaf o systemau, mae'r rhan fwyaf o ymdrechion i fewngofnodi gyda'r enw “gweinyddwr”. Ac nid yw hyn heb reswm, oherwydd mewn llawer o fersiynau o Windows, mae'r defnyddiwr hwn yn bodoli. Ar ben hynny, ni ellir ei ddileu. Mae hyn yn symleiddio'r dasg i ymosodwyr: yn lle dyfalu enw a chyfrinair, does ond angen i chi ddyfalu'r cyfrinair.
Gyda llaw, roedd gan y system a ddaliodd y ransomware y Gweinyddwr Defnyddiwr a'r cyfrinair Murmansk#9. Nid wyf yn siŵr o hyd sut y cafodd y system honno ei hacio, oherwydd dechreuais fonitro ychydig ar ôl y digwyddiad hwnnw, ond rwy’n meddwl bod gor sgil yn debygol.
Felly os na ellir dileu'r defnyddiwr Gweinyddwr, yna beth ddylech chi ei wneud? Gallwch ei ailenwi!
Argymhellion o’r paragraff hwn:
- peidiwch â defnyddio'r enw defnyddiwr yn enw'r cyfrifiadur
- gwnewch yn siŵr nad oes unrhyw ddefnyddiwr Gweinyddwr ar y system
- defnyddio cyfrineiriau cryf
Felly, rwyf wedi bod yn gwylio sawl Gweinyddwr Windows o dan fy rheolaeth yn cael eu gorfodi'n ysgrublaidd ers tua cwpl o flynyddoedd bellach, a heb lwyddiant.
Sut ydw i'n gwybod ei fod yn aflwyddiannus?
Oherwydd yn y sgrinluniau uchod gallwch weld bod logiau o alwadau RDP llwyddiannus, sy'n cynnwys y wybodaeth:
- o ba IP
- o ba gyfrifiadur (enw gwesteiwr)
- enw defnyddiwr
- Gwybodaeth GeoIP
Ac rwy'n gwirio yno'n rheolaidd - nid oes unrhyw anghysondebau wedi'u canfod.
Gyda llaw, os yw IP penodol yn cael ei orfodi'n arbennig o galed, yna gallwch chi rwystro IPs unigol (neu is-rwydweithiau) fel hyn yn PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockGyda llaw, mae gan Elastig, yn ogystal â Winlogbeat, hefyd , sy'n gallu monitro ffeiliau a phrosesau ar y system. Mae yna hefyd gais SIEM (Gwybodaeth Ddiogelwch a Rheoli Digwyddiadau) yn Kibana. Ceisiais y ddau, ond ni welais lawer o fudd - mae'n edrych yn debyg y bydd Auditbeat yn fwy defnyddiol ar gyfer systemau Linux, ac nid yw SIEM wedi dangos unrhyw beth dealladwy i mi eto.
Wel, argymhellion terfynol:
- Gwneud copïau wrth gefn awtomatig rheolaidd.
- gosod Diweddariadau Diogelwch mewn modd amserol
Bonws: rhestr o 50 o ddefnyddwyr a ddefnyddiwyd amlaf ar gyfer ymdrechion mewngofnodi RDP
"user.name: Disgyn"
Cyfri
dftd7c (enw gwesteiwr)
842941
winsrv1 (enw gwesteiwr)
266525
GWEINYDDYDD
180678
gweinyddwr
163842
gweinyddwr
53541
michael
23101
gweinydd
21983
steve
21936
john
21927
paul
21913
derbynfa
21909
mike
21899
swyddfa
21888
sganiwr
21887
sganio
21867
david
21865
chris
21860
perchennog
21855
rheolwr
21852
administrateur
21841
brian
21839
gweinyddwr
21837
nodi
21824
staff
21806
ADMIN
12748
GWRAIDD
7772
GWEINYDD
7325
CEFNOGAETH
5577
CEFNOGAETH
5418
DEFNYDDIWR
4558
admin
2832
PRAWF
1928
Mysql
1664
admin
1652
GUEST
1322
DEFNYDDWYR1
1179
SGANWR
1121
SCAN
1032
GWEINYDD
842
GWEINYDD1
525
BACKUP
518
MySqlAdmin
518
DERBYN
490
DEFNYDDWYR2
466
TEMP
452
SQLADMIN
450
DEFNYDDWYR3
441
1
422
RHEOLWR
418
PERCHENNOG
410
Ffynhonnell: hab.com