Is minic a léigh mé an tuairim go bhfuil sé an-neamhshábháilte port RDP (Prótacal Deisce Cianda) a choinneáil ar oscailt don Idirlíon agus nár cheart é a dhéanamh. Ach ní mór duit rochtain a thabhairt ar RDP trí VPN, nó ó sheoltaí IP “bán” áirithe amháin.
Riaraim roinnt Freastalaithe Windows do ghnólachtaí beaga a bhfuil sé de chúram orm cianrochtain ar Windows Server a sholáthar do chuntasóirí. Is é seo an treocht nua-aimseartha - ag obair ó bhaile. Go tapa, thuig mé gur tasc gan bhuíochas é crá a dhéanamh ar chuntasóirí VPN, agus nach n-oibreoidh bailiú na IP go léir don liosta bán, toisc go bhfuil seoltaí IP daoine dinimiciúil.
Dá bhrí sin, ghlac mé an bealach is simplí - chuir mé an calafort RDP ar aghaidh chuig an taobh amuigh. Chun rochtain a fháil, caithfidh cuntasóirí RDP a rith anois agus an t-óstainm (lena n-áirítear port), ainm úsáideora agus pasfhocal a chur isteach.
San Airteagal seo roinnfidh mé mo thaithí (dearfach agus nach bhfuil chomh dearfach) agus moltaí.
Rioscaí
Cad atá i mbaol duit tríd an gcalafort RDP a oscailt?
1) Rochtain neamhúdaraithe ar shonraí íogaire
Má dhéanann duine buille faoi thuairim faoi phasfhocal an RDP, beidh siad in ann sonraí a theastaíonn uait a choinneáil príobháideach a fháil: stádas cuntais, iarmhéideanna, sonraí custaiméirí, ...
2) Caillteanas sonraí
Mar shampla, mar thoradh ar víreas ransomware.
Nó gníomh d'aon ghnó ag ionsaitheoir.
3) Cailliúint stáisiún oibre
Ní mór d’oibrithe oibriú, ach tá an córas i gcontúirt agus ní mór é a athshuiteáil/athchóiriú/chumrú.
4) Comhréiteach an líonra áitiúil
Má tá rochtain faighte ag ionsaitheoir ar ríomhaire Windows, ansin ón ríomhaire seo beidh sé in ann rochtain a fháil ar chórais nach bhfuil inrochtana ón taobh amuigh, ón Idirlíon. Mar shampla, chun scaireanna a chomhdú, chuig printéirí líonra, etc.
Bhí cás agam inar ghlac Windows Server le hearraí ransom
agus rinne an ransomware seo an chuid is mó de na comhaid ar an tiomáint C: a chriptiú ar dtús agus ansin thosaigh sé ag criptiú na gcomhad ar an NAS thar an líonra. Ós rud é gur Synology a bhí sa NAS, agus na pictiúirí cumraithe, d'athchóirigh mé an NAS i 5 nóiméad, agus d'athshuiteáil mé Windows Server ón tús.
Tuairimí agus Moltaí
Déanaim monatóireacht ar Fhreastalaí Windows ag baint úsáide as , a sheolann logaí chuig ElasticSearch. Tá roinnt léirshamhlú ag Kibana, agus bhunaigh mé painéal saincheaptha freisin.
Ní chosnaíonn monatóireacht féin, ach cuidíonn sé leis na bearta is gá a chinneadh.
Seo roinnt tuairimí:
a) Beidh an RDP brúidiúil.
Ar cheann de na freastalaithe, shuiteáil mé RDP ní ar an gcalafort caighdeánach 3389, ach ar 443 - bhuel, clúdóidh mé mé féin mar HTTPS. Is dócha gur fiú an port a athrú ón gceann caighdeánach, ach ní dhéanfaidh sé mórán maitheasa. Seo iad na staitisticí ón bhfreastalaí seo:
Is féidir a fheiceáil go ndearnadh beagnach 400 iarracht nár éirigh leo logáil isteach trí RDP i gceann seachtaine.
Is féidir a fheiceáil go ndearnadh iarrachtaí logáil isteach ó 55 seoltaí IP (bhí bac ar roinnt seoltaí IP cheana féin agam).
Tugann sé seo le fios go díreach ar an gconclúid gur gá duit a shocrú fail2ban, ach
Níl aon áirgiúlacht den sórt sin ann do Windows.
Tá cúpla tionscadal tréigthe ar Github is cosúil go ndéanann siad seo, ach níor iarracht mé iad a shuiteáil fiú:
Tá fóntais íoctha ann freisin, ach níor mheas mé iad.
Má tá a fhios agat fóntais foinse oscailte chun na críche seo, le do thoil é a roinnt sna tuairimí.
Nuashonraigh: Mhol na tuairimí gur droch-rogha é port 443, agus tá sé níos fearr calafoirt ard (32000+) a roghnú, toisc go ndéantar 443 a scanadh níos minice, agus ní fadhb é RDP a aithint ar an gcalafort seo.
b) Tá ainmneacha úsáideoirí áirithe ann is fearr le hionsaitheoirí
Is féidir a fheiceáil go ndéantar an cuardach i bhfoclóir le hainmneacha éagsúla.
Ach seo an méid a thug mé faoi deara: tá líon suntasach iarrachtaí ag baint úsáide as ainm an fhreastalaí mar logáil isteach. Moladh: Ná húsáid an t-ainm céanna don ríomhaire agus don úsáideoir. Ina theannta sin, uaireanta is cosúil go bhfuil siad ag iarraidh ainm an fhreastalaí a pharsáil ar bhealach éigin: mar shampla, i gcás córas leis an ainm DESKTOP-DFTHD7C, is leis an ainm DFTHD7C is mó iarrachtaí logáil isteach:
Dá réir sin, má tá ríomhaire DESKTOP-MARIA agat, is dócha go mbeidh tú ag iarraidh logáil isteach mar úsáideoir MARIA.
Rud eile a thug mé faoi deara ó na logaí: ar fhormhór na gcóras, is leis an ainm “riarthóir” a dhéantar formhór na n-iarrachtaí logáil isteach. Agus níl sé seo gan chúis, toisc go bhfuil an t-úsáideoir seo ann i go leor leaganacha de Windows. Ina theannta sin, ní féidir é a scriosadh. Déanann sé seo an tasc a shimpliú d'ionsaitheoirí: in ionad ainm agus pasfhocal a thomhas, ní gá duit ach an focal faire a thomhas.
Dála an scéil, bhí an Riarthóir Úsáideora agus an focal faire Murmansk#9 ag an gcóras a ghlac na hearraí ransom. Níl mé cinnte fós conas a hackáladh an córas sin, mar thosaigh mé ag déanamh monatóireachta díreach i ndiaidh na heachtra sin, ach is dóigh liom gur dócha go mbeidh ró-mharú.
Mar sin murar féidir an t-úsáideoir Riarthóra a scriosadh, cad ba cheart duit a dhéanamh? Is féidir leat é a athainmniú!
Moltaí ón alt seo:
- ná húsáid an t-ainm úsáideora in ainm an ríomhaire
- déan cinnte nach bhfuil aon úsáideoir Riarthóra ar an gcóras
- pasfhocail láidre a úsáid
Mar sin, tá mé ag breathnú ar roinnt Freastalaithe Windows faoi mo smacht a bheith brúidiúil-éigean le cúpla bliain anois, agus gan rath.
Conas a bheidh a fhios agam nár éirigh leis?
Mar gheall ar na screenshots thuas is féidir leat a fheiceáil go bhfuil logaí de ghlaonna RDP rathúla, ina bhfuil an fhaisnéis:
- óna IP
- cén ríomhaire (óstainm) as
- Ainm úsáideora
- Faisnéis GeoIP
Agus seiceáilim ann go rialta - níor aimsíodh aon aimhrialtachtaí.
Dála an scéil, má tá IP ar leith á bhrú brú go háirithe crua, ansin is féidir leat bac a chur ar IPanna aonair (nó subnets) mar seo i PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockDála an scéil, tá Elastic, chomh maith le Winlogbeat, freisin , ar féidir leo monatóireacht a dhéanamh ar chomhaid agus ar phróisis ar an gcóras. Tá feidhmchlár SIEM (Faisnéis Slándála & Bainistíocht Imeachtaí) i Kibana freisin. Bhain mé triail as an dá cheann, ach ní fhaca mé mórán tairbhe - tá an chuma ar an scéal go mbeidh Auditbeat níos úsáidí do chórais Linux, agus níor léirigh SIEM aon rud intuigthe dom go fóill.
Bhuel, moltaí deiridh:
- Déan cúltacaí uathoibríocha rialta.
- shuiteáil Nuashonruithe Slándála go tráthúil
Bónas: liosta de na 50 úsáideoir is minice a úsáideadh le haghaidh iarrachtaí logáil isteach RDP
"user.name: Íslitheach"
Count
dfthd7c (óstainm)
842941
winsrv1 (óstainm)
266525
RIARACHÁN
180678
riarthóir
163842
riarthóir
53541
michael
23101
freastalaí
21983
steve
21936
John
21927
paul
21913
fáiltiú
21909
Mike
21899
oifig
21888
scanóir
21887
scanadh
21867
david
21865
chris
21860
úinéir
21855
bainisteoir
21852
riarthóir
21841
brian
21839
riarthóir
21837
mharcáil
21824
foirne
21806
ADMIN
12748
Root
7772
RIARACHÁN
7325
TACAÍOCHT
5577
TACAÍOCHT
5418
USER
4558
admin
2832
TÁSTÁIL
1928
MySql
1664
Riarachán
1652
GUEST
1322
ÚSÁIDEOIR1
1179
SCANNÁN
1121
SCAN
1032
RIARACHÁN
842
RIARACHÁN1
525
Cúlchiste
518
MySqlAdmin
518
FAIGHTE
490
ÚSÁIDEOIR2
466
Teocht
452
SQLADMIN
450
ÚSÁIDEOIR3
441
1
422
BAINISTEOIR
418
ÚINÉIR
410
Foinse: will.com