Olen sageli lugenud arvamust, et RDP (Remote Desktop Protocol) pordi Internetile avatuna hoidmine on väga ebaturvaline ja seda ei tohiks teha. Kuid peate andma juurdepääsu RDP-le kas VPN-i kaudu või ainult teatud "valgete" IP-aadresside kaudu.
Haldan mitut Windows Serverit väikeettevõtetele, kus minu ülesandeks on pakkuda raamatupidajatele kaugjuurdepääsu Windows Serverile. See on kaasaegne trend – kodus töötamine. Üsna kiiresti sain aru, et VPN-i raamatupidajate piinamine on tänamatu ülesanne ja kõigi IP-de valgesse nimekirja kogumine ei toimi, sest inimeste IP-aadressid on dünaamilised.
Seetõttu valisin kõige lihtsama tee - edastasin RDP pordi väljapoole. Juurdepääsu saamiseks peavad raamatupidajad nüüd käivitama RDP ja sisestama hostinime (sh pordi), kasutajanime ja parooli.
Selles artiklis jagan oma kogemusi (positiivseid ja mitte nii positiivseid) ja soovitusi.
Riskid
Millega riskite RDP pordi avamisega?
1) Volitamata juurdepääs tundlikele andmetele
Kui keegi arvab ära RDP parooli, saab ta hankida andmeid, mida soovite privaatsena hoida: konto olek, saldod, kliendiandmed, ...
2) Andmete kadu
Näiteks lunavaraviiruse tagajärjel.
Või ründaja tahtlik tegevus.
3) Töökoha kaotus
Töötajad peavad töötama, kuid süsteem on ohus ja see tuleb uuesti installida/taastada/konfigureerida.
4) Kohaliku võrgu kompromiss
Kui ründaja on saanud juurdepääsu Windowsi arvutile, pääseb ta sellest arvutist ligi süsteemidele, mis on väljast, Internetist ligipääsmatud. Näiteks failide ühiskasutusse, võrguprinteritele jne.
Mul oli juhtum, kus Windows Server püüdis lunavara kinni
ja see lunavara krüpteeris esmalt enamiku C: draivi failidest ja hakkas seejärel NAS-is olevaid faile üle võrgu krüpteerima. Kuna NAS oli Synology ja hetktõmmised olid konfigureeritud, taastasin NAS-i 5 minutiga ja installisin Windows Serveri nullist uuesti.
Tähelepanekud ja soovitused
Jälgin Windowsi servereid kasutades , mis saadavad logid ElasticSearchile. Kibanal on mitu visualiseerimist ja ma seadistasin ka kohandatud armatuurlaua.
Seire ise ei kaitse, kuid aitab määrata vajalikud meetmed.
Siin on mõned tähelepanekud:
a) RDP on julm pealesunnitud.
Ühes serveris installisin RDP mitte standardporti 3389, vaid 443 - hästi, ma maskeerin end HTTPS-iks. Tõenäoliselt tasub porti tavalisest vahetada, kuid sellest pole suurt kasu. Siin on selle serveri statistika:
Näha on, et nädalaga oli ligi 400 000 ebaõnnestunud RDP kaudu sisselogimise katset.
On näha, et 55 001 IP-aadressilt üritati sisse logida (mõned IP-aadressid olid juba minu poolt blokeeritud).
See viitab otseselt järeldusele, et peate määrama fail2ban, kuid
Windowsi jaoks sellist utiliiti pole.
Githubis on paar mahajäetud projekti, mis näivad seda tegevat, kuid ma pole isegi proovinud neid installida:
On ka tasulisi kommunaalteenuseid, aga ma pole nendega arvestanud.
Kui teate selleks avatud lähtekoodiga utiliiti, jagage seda kommentaarides.
Värskendused: Kommentaarid viitasid sellele, et port 443 on halb valik ja parem on valida kõrged pordid (32000+), sest 443 skaneeritakse sagedamini ja RDP tuvastamine sellel pordil pole probleem.
Värskenda: Kommentaarid näitasid, et selline utiliit on olemas:
b) Ründajad eelistavad teatud kasutajanimesid
On näha, et otsing toimub erinevate nimetustega sõnastikus.
Kuid ma märkasin järgmist: märkimisväärne hulk katseid kasutab sisselogimiseks serveri nime. Soovitus: ärge kasutage arvuti ja kasutaja jaoks sama nime. Pealegi tundub mõnikord, et nad üritavad serveri nime kuidagi sõeluda: näiteks DESKTOP-DFTHD7C nime kandva süsteemi puhul tehakse kõige rohkem sisselogimiskatseid nimega DFTHD7C:
Seega, kui teil on DESKTOP-MARIA arvuti, proovite tõenäoliselt sisse logida MARIA kasutajana.
Veel üks asi, mida logidest märkasin: enamikus süsteemides tehakse enamik sisselogimiskatseid nimega “administraator”. Ja see pole põhjuseta, sest paljudes Windowsi versioonides on see kasutaja olemas. Pealegi ei saa seda kustutada. See lihtsustab ründajate ülesannet: nime ja parooli ära arvamise asemel tuleb vaid parool ära arvata.
Muide, lunavara püüdnud süsteemil oli kasutaja Administrator ja parool Murmansk#9. Ma pole ikka veel kindel, kuidas sellesse süsteemi sisse häkiti, sest alustasin jälgimist just pärast seda juhtumit, kuid arvan, et see liialdamine on tõenäoline.
Kui administraatori kasutajat ei saa kustutada, siis mida peaksite tegema? Saate selle ümber nimetada!
Selle lõigu soovitused:
- ära kasuta arvutinimes kasutajanime
- veenduge, et süsteemis pole administraatori kasutajat
- kasutage tugevaid paroole
Niisiis, olen juba paar aastat jälginud, kuidas mitmed minu kontrolli all olevad Windowsi serverid on jõhkralt sunnitud, kuid edutult.
Kuidas ma tean, et see ebaõnnestus?
Kuna ülaltoodud ekraanipiltidel näete, et seal on edukate RDP-kõnede logid, mis sisaldavad järgmist teavet:
- millisest IP-st
- millisest arvutist (hostinimi)
- Kasutajanimi
- GeoIP teave
Ja ma kontrollin seal regulaarselt - mingeid kõrvalekaldeid pole leitud.
Muide, kui konkreetset IP-d jõustatakse eriti tugevalt, saate PowerShellis blokeerida üksikud IP-d (või alamvõrgud):
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockMuide, Elasticul on lisaks Winlogbeatile ka , mis suudab jälgida süsteemis olevaid faile ja protsesse. Kibanas on ka SIEM-i (turvainfo ja sündmuste haldamise) rakendus. Proovisin mõlemat, kuid ei näinud erilist kasu – tundub, et Auditbeat on Linuxi süsteemide jaoks kasulikum ja SIEM pole mulle veel midagi arusaadavat näidanud.
Noh, viimased soovitused:
- Tehke regulaarselt automaatseid varukoopiaid.
- installige turvavärskendused õigeaegselt
Boonus: nimekiri 50 kasutajast, keda RDP sisselogimiskatseteks kõige sagedamini kasutati
"kasutaja.nimi: kahanevalt"
Loendama
dfthd7c (hostinimi)
842941
winsrv1 (hostinimi)
266525
ADMINISTRATOR
180678
administraator
163842
administraator
53541
michael
23101
server
21983
steve
21936
John
21927
Paul
21913
vastuvõtt
21909
mike
21899
kontor
21888
skanner
21887
skaneerida
21867
David
21865
chris
21860
omanik
21855
juht
21852
Administrateur
21841
brian
21839
administraator
21837
märk
21824
personal
21806
ADMIN
12748
JUUR
7772
ADMINISTRATOR
7325
TOETADA
5577
KESKMINE
5418
USER
4558
admin
2832
TEST
1928
mysql
1664
admin
1652
KÜLALINE
1322
KASUTAJA1
1179
SKANNER
1121
SCAN
1032
ADMINISTRATOR
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
VASTUVÕTU
490
KASUTAJA2
466
TEMP
452
SQLADMIN
450
KASUTAJA3
441
1
422
MANAGER
418
OMANIK
410
Allikas: www.habr.com