Askotan irakurri izan dut RDP (Urruneko Mahaiaren Protokoloa) ataka bat Interneterako irekita mantentzea oso arriskutsua dela eta ez litzatekeela egin behar. Baina RDPrako sarbidea eman behar duzu VPN baten bidez, edo IP helbide "zuri" batzuetatik soilik.
Zenbait Windows zerbitzari administratzen ditut enpresa txikientzat, non kontularientzat Windows Server-era urruneko sarbidea eskaintzeaz arduratu naizen. Hau da joera modernoa: etxetik lan egitea. Nahiko azkar, konturatu nintzen VPN kontularien oinazea eskergabeko zeregina dela, eta zerrenda zurirako IP guztiak biltzeak ez duela funtzionatuko, jendearen IP helbideak dinamikoak direlako.
Hori dela eta, biderik errazena hartu nuen: RDP ataka kanpora bidali nuen. Sarbidea lortzeko, kontu-hartzaileek RDP exekutatu eta ostalari-izena (ataka barne), erabiltzaile-izena eta pasahitza sartu behar dute.
Artikulu honetan nire esperientzia (positiboa eta ez hain positiboa) eta gomendioak partekatuko ditut.
Arriskuak
Zer arriskutan ari zara RDP ataka irekiz?
1) Datu sentikorretarako baimenik gabeko sarbidea
Norbaitek RDP pasahitza asmatzen badu, pribatuan mantendu nahi dituzun datuak eskuratu ahal izango ditu: kontuaren egoera, saldoak, bezeroen datuak,...
2) Datuen galera
Adibidez, ransomware birus baten ondorioz.
Edo erasotzaile batek nahita egindako ekintza.
3) Lanpostua galtzea
Langileek lan egin behar dute, baina sistema arriskuan dago eta berriro instalatu/berreskuratu/konfiguratu behar da.
4) Sare lokalaren konpromisoa
Erasotzaile batek Windows ordenagailurako sarbidea lortu badu, orduan ordenagailu honetatik kanpotik, Internetetik, eskuraezinak diren sistemetara sartzeko aukera izango du. Adibidez, fitxategiak partekatzeko, sareko inprimagailuetara, etab.
Windows Server-ek ransomware bat harrapatu zuen kasu bat izan nuen
eta ransomware honek C: unitateko fitxategi gehienak enkriptatu zituen eta gero NASeko fitxategiak sarean enkriptatzen hasi zen. NAS Synology zenez, argazkiak konfiguratuta, NAS leheneratu nuen 5 minututan, eta Windows Server hutsetik berriro instalatu nuen.
Behaketak eta gomendioak
Windows zerbitzariak erabiltzen ditut kontrolatzen , ElasticSearch-era erregistroak bidaltzen dituena. Kibanak hainbat bistaratze ditu, eta panel pertsonalizatu bat ere konfiguratu dut.
Monitorizazioak berak ez du babesten, baina beharrezko neurriak zehazten laguntzen du.
Hona hemen behaketa batzuk:
a) RDP bortxa bortitza izango da.
Zerbitzarietako batean, RDP instalatu nuen ez 3389 ataka estandarrean, 443an baizik - tira, HTTPS gisa mozorrotuko naiz. Seguruenik merezi du portu estandarra aldatzea, baina ez du onura handirik egingo. Hona hemen zerbitzari honen estatistikak:
Ikus daiteke aste batean ia 400 saiakera huts egin zirela RDP bidez saioa hasteko.
Ikus daiteke 55 IP helbidetatik saioa hasteko saiakerak egon zirela (IP helbide batzuk jadanik blokeatuta nituen).
Horrek zuzenean iradokitzen du fail2ban ezarri behar duzula ondorioa, baina
Windows-erako ez dago horrelako erabilgarritasunik.
Github-en abandonatutako proiektu pare bat daude hori egiten dutela dirudi, baina ez naiz horiek instalatzen saiatu ere egin:
Ordaindutako utilitateak ere badaude, baina ez ditut kontuan hartu.
Horretarako kode irekiko utilitate bat ezagutzen baduzu, mesedez, partekatu iruzkinetan.
Eguneratu: Iruzkinek iradokitzen dute 443 ataka aukera txarra dela, eta hobe da portu altuak aukeratzea (32000+), 443 maizago eskaneatzen delako, eta ataka honetan RDP ezagutzea ez baita arazorik.
b) Erasotzaileek nahiago dituzten erabiltzaile-izen batzuk daude
Bilaketa izen ezberdineko hiztegi batean egiten dela ikus daiteke.
Baina hona hemen ohartu naizena: saiakera kopuru handi batek zerbitzariaren izena saio-hasiera gisa erabiltzen ari dira. Gomendioa: Ez erabili izen bera ordenagailuarentzat eta erabiltzailearentzat. Gainera, batzuetan badirudi zerbitzariaren izena nolabait analizatzen saiatzen ari direla: adibidez, DESKTOP-DFTHD7C izena duen sistema baterako, saioa hasteko saiakera gehien DFTHD7C izenarekin egiten dira:
Horren arabera, DESKTOP-MARIA ordenagailua baduzu, ziurrenik MARIA erabiltzaile gisa saioa hasten saiatuko zara.
Erregistroetatik ohartu naiz beste gauza bat: sistema gehienetan, saioa hasteko saiakera gehienak "administratzaile" izenarekin izaten dira. Eta hori ez da arrazoirik gabe, Windows-en bertsio askotan erabiltzaile hau existitzen delako. Gainera, ezin da ezabatu. Horrek erraztu egiten die erasotzaileei zeregina: izena eta pasahitza asmatu beharrean, pasahitza asmatu besterik ez duzu egin behar.
Bide batez, ransomwarea harrapatu zuen sistemak Administrator erabiltzailea eta Murmansk#9 pasahitza zituen. Oraindik ez nago ziur nola pirateatu den sistema hori, gertakari horren ostean hasi nintzelako monitorizazioa, baina uste dut gehiegikeria hori litekeena dela.
Beraz, Administratzailearen erabiltzailea ezin bada ezabatu, zer egin behar duzu? Izena aldatu diezaiokezu!
Paragrafo honetako gomendioak:
- ez erabili erabiltzaile izena ordenagailuaren izenean
- ziurtatu sisteman Administratzaile erabiltzailerik ez dagoela
- pasahitz sendoak erabili
Beraz, nire kontrolpean dauden hainbat Windows zerbitzari ikusten ari naiz duela pare bat urte, eta arrakastarik gabe.
Nola jakin dezaket arrakastarik ez duela?
Goiko pantaila-argazkietan RDP deien arrakastatsuen erregistroak daudela ikus dezakezulako, eta informazio hori daukatenak:
- zein IPtik
- zein ordenagailutatik (ostalari-izena)
- erabiltzaile-izena
- GeoIP informazioa
Eta aldian-aldian egiaztatzen dut - ez da anomaliarik aurkitu.
Bide batez, IP jakin bat gogor bortxatzen ari bada, honela blokeatu ditzakezu IP indibidualak (edo azpisareak) PowerShell-en:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockBide batez, Elastic, Winlogbeat-ez gain, ere badu , sistemako fitxategiak eta prozesuak kontrola ditzakeena. SIEM (Segurtasun Informazioa eta Gertaerak Kudeatzea) aplikazio bat ere badago Kibanan. Biak probatu nituen, baina ez nuen onura handirik ikusi; badirudi Auditbeat erabilgarriagoa izango dela Linux sistemetarako, eta SIEMek oraindik ez dit ezer ulergarririk erakutsi.
Beno, azken gomendioak:
- Egin ohiko babeskopia automatikoak.
- instalatu Segurtasun Eguneratzeak garaiz
Bonua: RDP saioa hasteko saiakeretarako gehien erabiltzen ziren 50 erabiltzaileen zerrenda
"erabiltzaile.izena: beherakorra"
Diruz
dfthd7c (ostalari-izena)
842941
winsrv1 (ostalari-izena)
266525
ADMINISTRATOR
180678
administratzaileak
163842
administrator
53541
michael
23101
zerbitzaria
21983
steve
21936
john
21927
paul
21913
harrera
21909
mikel
21899
bulegoan
21888
scanner
21887
eskaneatzeko
21867
david
21865
Chris
21860
jabea
21855
kudeatzailea
21852
administrateur
21841
Brian
21839
administratzaileak
21837
markatu
21824
langileak
21806
ADMIN
12748
ROOT
7772
ADMINISTRATZAILEA
7325
LAGUNTZA
5577
LAGUNTZA
5418
USER
4558
admin
2832
TEST
1928
MySQL
1664
admin
1652
GONBIDATUA
1322
ERABILTZAILEA1
1179
Scanner
1121
SCAN
1032
ADMINISTRATZAILEA
842
ADMIN.1
525
BACKUP
518
MySqlAdmin
518
HARRERA
490
ERABILTZAILEA2
466
TEMP
452
SQLADMIN
450
ERABILTZAILEA3
441
1
422
KUDEATZAILEA
418
JABEAK
410
Iturria: www.habr.com