Olen usein lukenut mielipiteen, jonka mukaan RDP (Remote Desktop Protocol) -portin pitäminen auki Internetiä on erittäin vaarallista, eikä sitä pidä tehdä. Mutta sinun on annettava pääsy RDP: hen joko VPN: n kautta tai vain tietyistä "valkoisista" IP-osoitteista.
Hallinnoin useita pienyritysten Windows-palvelimia, joissa minulle on annettu tehtäväksi tarjota etäkäyttö Windows Serveriin kirjanpitäjille. Tämä on nykyaikainen trendi - työskentely kotona. Tajusin melko nopeasti, että VPN-kirjanpitäjien kiusaaminen on kiittämätön tehtävä, eikä kaikkien IP-osoitteiden kerääminen valkoiselle listalle onnistu, koska ihmisten IP-osoitteet ovat dynaamisia.
Siksi valitsin yksinkertaisimman reitin - välitin RDP-portin ulos. Pääsyäkseen kirjanpitäjien on nyt suoritettava RDP ja syötettävä isäntänimi (mukaan lukien portti), käyttäjänimi ja salasana.
Tässä artikkelissa jaan kokemukseni (positiivinen ja ei niin positiivinen) ja suositukseni.
Riskit
Mitä riskeeraat avaamalla RDP-portin?
1) Luvaton pääsy arkaluontoisiin tietoihin
Jos joku arvaa RDP-salasanan, hän voi saada tietoja, jotka haluat pitää yksityisinä: tilin tila, saldot, asiakastiedot, ...
2) Tietojen menetys
Esimerkiksi ransomware-viruksen seurauksena.
Tai hyökkääjän tahallinen toiminta.
3) Työaseman menetys
Työntekijöiden on tehtävä töitä, mutta järjestelmä on vaarantunut ja se on asennettava uudelleen/palautettava/määritettävä.
4) Paikallisen verkon kompromissi
Jos hyökkääjä on päässyt Windows-tietokoneeseen, hän voi päästä tältä tietokoneelta järjestelmiin, joihin ei ole pääsyä ulkopuolelta, Internetistä. Esimerkiksi tiedostojen jakamiseen, verkkotulostimiin jne.
Minulla oli tapaus, jossa Windows Server sai kiinni kiristysohjelman
ja tämä kiristysohjelma salasi ensin suurimman osan C:-aseman tiedostoista ja alkoi sitten salata NAS:ssa olevia tiedostoja verkon kautta. Koska NAS oli Synology, jossa tilannevedokset oli määritetty, palautin NAS:n 5 minuutissa ja asensin Windows Serverin uudelleen alusta.
Havainnot ja suositukset
Seuraan Windows-palvelimia käyttäen , jotka lähettävät lokit ElasticSearchiin. Kibanassa on useita visualisointeja, ja asensin myös mukautetun kojelaudan.
Valvonta itsessään ei suojaa, mutta auttaa määrittämään tarvittavat toimenpiteet.
Tässä muutamia havaintoja:
a) RDP on raa'an pakotettu.
Yhdelle palvelimista en asentanut RDP:tä vakioporttiin 3389, vaan 443:een - no, naamioin itseni HTTPS:ksi. Portti kannattaa luultavasti vaihtaa tavallisesta, mutta siitä ei ole paljon hyötyä. Tässä tilastot tältä palvelimelta:
Voidaan nähdä, että viikossa oli lähes 400 000 epäonnistunutta kirjautumisyritystä RDP:n kautta.
Voidaan nähdä, että sisäänkirjautumista yritettiin 55 001 IP-osoitteesta (jotkut IP-osoitteet olin jo estänyt).
Tämä viittaa suoraan siihen johtopäätökseen, että sinun on asetettava fail2ban, mutta
Windowsille ei ole tällaista apuohjelmaa.
Githubissa on pari hylättyä projektia, jotka näyttävät tekevän tämän, mutta en ole edes yrittänyt asentaa niitä:
On myös maksullisia apuohjelmia, mutta en ole ottanut niitä huomioon.
Jos tiedät avoimen lähdekoodin apuohjelman tähän tarkoitukseen, jaa se kommenteissa.
Päivitykset: Kommenttien mukaan portti 443 on huono valinta ja kannattaa valita korkeat portit (32000+), koska 443 skannataan useammin, eikä RDP:n tunnistaminen tässä portissa ole ongelma.
Päivitys: Kommentit ehdottivat, että tällainen apuohjelma on olemassa:
b) Hyökkääjät suosivat tiettyjä käyttäjänimiä
Voidaan nähdä, että haku tehdään sanakirjasta, jolla on eri nimiä.
Mutta tämän huomasin: huomattava määrä yrityksiä käyttää palvelimen nimeä sisäänkirjautumisena. Suositus: Älä käytä samaa nimeä tietokoneelle ja käyttäjälle. Lisäksi joskus näyttää siltä, että he yrittävät jäsentää palvelimen nimeä jollakin tavalla: esimerkiksi järjestelmässä, jonka nimi on DESKTOP-DFTHD7C, useimmat kirjautumisyritykset ovat nimellä DFTHD7C:
Vastaavasti, jos sinulla on DESKTOP-MARIA-tietokone, yrität todennäköisesti kirjautua sisään MARIA-käyttäjänä.
Toinen asia, jonka huomasin lokeista: useimmissa järjestelmissä useimmat kirjautumisyritykset ovat "järjestelmänvalvojan" nimellä. Ja tämä ei ole ilman syytä, koska tämä käyttäjä on olemassa monissa Windows-versioissa. Lisäksi sitä ei voi poistaa. Tämä yksinkertaistaa hyökkääjien tehtävää: nimen ja salasanan arvaamisen sijaan sinun tarvitsee vain arvata salasana.
Muuten, kiristysohjelman saaneessa järjestelmässä oli käyttäjä Administrator ja salasana Murmansk#9. En ole vieläkään varma, kuinka tämä järjestelmä hakkeroitiin, koska aloin valvoa tilannetta juuri tuon tapauksen jälkeen, mutta mielestäni ylilyönti on todennäköistä.
Joten jos järjestelmänvalvojan käyttäjää ei voida poistaa, mitä sinun pitäisi tehdä? Voit nimetä sen uudelleen!
Suositukset tästä kappaleesta:
- älä käytä käyttäjänimeä tietokoneen nimessä
- varmista, ettei järjestelmässä ole järjestelmänvalvojaa
- käytä vahvoja salasanoja
Olen siis seurannut useiden hallinnassani olevien Windows-palvelimien raa'an pakottamista jo noin parin vuoden ajan, mutta tuloksetta.
Mistä tiedän, että se on epäonnistunut?
Koska yllä olevista kuvakaappauksista näet, että onnistuneista RDP-kutsuista on lokeja, jotka sisältävät tiedot:
- mistä IP:stä
- mistä tietokoneesta (isäntänimi)
- Käyttäjätunnus
- GeoIP tiedot
Ja tarkistan siellä säännöllisesti - mitään poikkeavuuksia ei ole löydetty.
Muuten, jos tiettyä IP-osoitetta pakotetaan erityisen voimakkaasti, voit estää yksittäisiä IP-osoitteita (tai aliverkkoja) tällä tavalla PowerShellissä:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockMuuten, Elasticilla on Winlogbeatin lisäksi myös , joka voi valvoa tiedostoja ja prosesseja järjestelmässä. Kibanassa on myös SIEM (Security Information & Event Management) -sovellus. Kokeilin molempia, mutta en nähnyt paljon hyötyä - näyttää siltä, että Auditbeat on hyödyllisempi Linux-järjestelmissä, eikä SIEM ole vielä näyttänyt minulle mitään ymmärrettävää.
No, viimeiset suositukset:
- Tee säännölliset automaattiset varmuuskopiot.
- asentaa tietoturvapäivitykset ajoissa
Bonus: luettelo 50 käyttäjästä, joita käytettiin useimmin RDP-kirjautumisyrityksiin
"käyttäjänimi: laskeva"
Laskea
dfthd7c (isäntänimi)
842941
winsrv1 (isäntänimi)
266525
ADMINISTRATOR
180678
ylläpitäjä
163842
ylläpitäjä
53541
michael
23101
palvelin
21983
Steve
21936
Johannes
21927
Paavali
21913
vastaanotto
21909
mikrofoni
21899
toimisto
21888
skanneri
21887
skannata
21867
david
21865
Chris
21860
omistaja
21855
johtaja
21852
administrateur
21841
Brian
21839
ylläpitäjä
21837
Merkitse
21824
henkilöstö
21806
ADMIN
12748
ROOT
7772
JÄRJESTELMÄNVALVOJA
7325
TUKI
5577
TUKI
5418
USER
4558
admin
2832
TESTI
1928
MySQL
1664
admin
1652
GUEST
1322
User1
1179
SKANNERI
1121
SKANNATA
1032
JÄRJESTELMÄNVALVOJA
842
JÄRJESTELMÄNVALVOJA1
525
VARMUUSKOPIOIDA
518
MySqlAdmin
518
VASTAANOTTO
490
User2
466
TEMP
452
SQLADMIN
450
User3
441
1
422
MANAGER
418
OMISTAJA
410
Lähde: will.com