Tha mi gu tric air a’ bheachd a leughadh gu bheil e glè chunnartach port RDP (Remote Desktop Protocol) a chumail fosgailte don eadar-lìn agus nach bu chòir a dhèanamh. Ach feumaidh tu cothrom a thoirt do RDP an dàrna cuid tro VPN, no dìreach bho sheòlaidhean IP “geal” sònraichte.
Bidh mi a’ rianachd grunn Fhrithealaichean Windows airson companaidhean beaga far an deach iarraidh orm ruigsinneachd iomallach a thoirt do Windows Server airson luchd-cunntais. Is e seo an gluasad ùr-nodha - ag obair bhon taigh. Gu math luath, thuig mi gur e obair gun taing a th’ ann a bhith a’ cràdh luchd-cunntais VPN, agus nach obraich a bhith a’ cruinneachadh a h-uile IP airson an liosta gheal, leis gu bheil seòlaidhean IP dhaoine fiùghantach.
Mar sin, ghabh mi an t-slighe as sìmplidh - chuir mi air adhart am port RDP chun an taobh a-muigh. Gus faighinn a-steach, feumaidh luchd-cunntais a-nis RDP a ruith agus an t-ainm aoigheachd (a’ toirt a-steach port), ainm-cleachdaidh agus facal-faire a chuir a-steach.
San artaigil seo roinnidh mi m ’eòlas (dearbhach agus nach eil cho adhartach) agus molaidhean.
Risg
Dè a tha thu ann an cunnart le bhith a’ fosgladh port RDP?
1) Cothrom gun chead air dàta mothachail
Ma tha cuideigin a’ tomhas am facal-faire RDP, bidh e comasach dhaibh dàta fhaighinn a tha thu airson a chumail prìobhaideach: inbhe cunntais, cothromachadh, dàta teachdaiche, ...
2) call dàta
Mar eisimpleir, mar thoradh air bhìoras ransomware.
No gnìomh a dh’aona ghnothach le neach-ionnsaigh.
3) Call ionad-obrach
Feumaidh luchd-obrach a bhith ag obair, ach tha an siostam ann an cunnart agus feumar ath-shuidheachadh / ath-nuadhachadh / rèiteachadh.
4) Co-rèiteachadh an lìonra ionadail
Ma tha neach-ionnsaigh air faighinn gu coimpiutair Windows, an uairsin bhon choimpiutair seo bidh e comasach dha faighinn gu siostaman nach eil ruigsinneach bhon taobh a-muigh, bhon eadar-lìn. Mar eisimpleir, airson earrannan faidhle, gu clò-bhualadairean lìonra, msaa.
Bha cùis agam far an do ghlac Windows Server ransomware
agus chrioptaich an ransomware seo a’ mhòr-chuid de na faidhlichean air an draibhear C: agus an uairsin thòisich iad air na faidhlichean air an NAS a chrioptachadh thairis air an lìonra. Leis gur e Synology a bh’ anns an NAS, le dealbhan air an rèiteachadh, thug mi air ais an NAS ann an 5 mionaidean, agus chuir mi a-steach Windows Server bhon toiseach.
Beachdan agus Molaidhean
Bidh mi a’ cumail sùil air Windows Servers a’ cleachdadh , a chuireas logaichean gu ElasticSearch. Tha grunn ìomhaighean aig Kibana, agus stèidhich mi deas-bhòrd àbhaisteach cuideachd.
Chan eil sgrùdadh fhèin a 'dìon, ach bidh e a' cuideachadh le bhith a 'dearbhadh nan ceumannan riatanach.
Seo cuid de na beachdan:
a) Bidh RDP air a sparradh gu brùideil.
Air aon de na frithealaichean, chuir mi a-steach RDP chan ann air a’ phort àbhaisteach 3389, ach air 443 - uill, cuiridh mi am falach mi fhèin mar HTTPS. Is dòcha gum b’ fhiach am port atharrachadh bhon fhear àbhaisteach, ach cha dèan e mòran math. Seo na staitistig bhon t-seirbheisiche seo:
Chithear gun robh faisg air 400 oidhirp neo-shoirbheachail air logadh a-steach tro RDP ann an seachdain.
Chithear gun robh oidhirpean air logadh a-steach bho sheòlaidhean IP 55 (chaidh cuid de sheòlaidhean IP a bhacadh leam mu thràth).
Tha seo a 'moladh gu dìreach a' cho-dhùnadh gum feum thu fail2ban a shuidheachadh, ach
Chan eil an leithid de ghoireas ann airson Windows.
Tha pròiseact no dhà air an trèigsinn air Github a tha coltach gu bheil iad a ’dèanamh seo, ach cha do dh’ fheuch mi eadhon rin stàladh:
Tha goireasan pàighte ann cuideachd, ach cha do bheachdaich mi orra.
Ma tha eòlas agad air goireas stòr fosgailte airson an adhbhar seo, feuch an roinn thu e anns na beachdan.
Update: Mhol na beachdan gur e droch roghainn a th 'ann am port 443, agus tha e nas fheàrr puirt àrd (32000+) a thaghadh, oir tha 443 air a sganadh nas trice, agus chan eil e na dhuilgheadas aithneachadh RDP air a' phort seo.
b) Tha ainmean-cleachdaidh sònraichte ann as fheàrr le luchd-ionnsaigh
Chithear gu bheil an rannsachadh air a dhèanamh ann am faclair le ainmean eadar-dhealaichte.
Ach seo na mhothaich mi: tha àireamh mhòr de dh’ oidhirpean a’ cleachdadh ainm an fhrithealaiche mar logadh a-steach. Moladh: Na cleachd an aon ainm airson a’ choimpiutair agus an neach-cleachdaidh. A bharrachd air an sin, uaireannan tha e coltach gu bheil iad a’ feuchainn ri ainm an fhrithealaiche a pharsadh dòigh air choireigin: mar eisimpleir, airson siostam leis an ainm DESKTOP-DFTHD7C, ’s ann leis an ainm DFTHD7C a bhios na h-oidhirpean as motha air logadh a-steach:
Mar sin, ma tha coimpiutair DESKTOP-MARIA agad, is dòcha gu bheil thu a’ feuchainn ri logadh a-steach mar neach-cleachdaidh MARIA.
Rud eile a mhothaich mi bho na logaichean: air a’ mhòr-chuid de shiostaman, tha a’ mhòr-chuid de dh’ oidhirpean air logadh a-steach leis an ainm “rianaire”. Agus chan eil seo gun adhbhar, oir ann an iomadh dreach de Windows, tha an cleachdaiche seo ann. A bharrachd air an sin, chan urrainnear a dhubhadh às. Bidh seo a’ sìmpleachadh na h-obrach dha luchd-ionnsaigh: an àite a bhith a’ tomhas ainm is facal-faire, cha leig thu leas ach am facal-faire a thomhais.
Air an t-slighe, bha an rianadair cleachdaiche agus am facal-faire Murmansk # 9 aig an t-siostam a ghlac an ransomware. Chan eil mi cinnteach fhathast ciamar a chaidh an siostam sin a slaodadh, oir thòisich mi a’ cumail sùil dìreach às deidh na thachair sin, ach tha mi a’ smaoineachadh gu bheil e coltach gu bheil cus cus ann.
Mar sin mura h-urrainnear an cleachdaiche Rianadair a dhubhadh às, dè a bu chòir dhut a dhèanamh? Faodaidh tu ath-ainmeachadh!
Molaidhean bhon pharagraf seo:
- na cleachd an t-ainm-cleachdaiche ann an ainm a’ choimpiutair
- dèan cinnteach nach eil cleachdaiche rianaire air an t-siostam
- cleachd faclan-faire làidir
Mar sin, tha mi air a bhith a’ coimhead grunn Fhrithealaichean Windows fo mo smachd air an èigneachadh gu brùideil airson timcheall air bliadhna no dhà a-nis, agus gun soirbheachadh.
Ciamar a bhios fios agam nach eil e soirbheachail?
Leis gu bheil thu anns na dealbhan-sgrìn gu h-àrd a’ faicinn gu bheil logaichean de ghairmean RDP soirbheachail, anns a bheil am fiosrachadh:
- bho dè an IP
- bhon choimpiutair (ainm aoigheachd)
- Ainm-cleachdaidh
- Fiosrachadh mun chompanaidh GeoIP
Agus bidh mi a’ sgrùdadh an sin gu cunbhalach - cha deach neo-riaghailteachdan a lorg.
Air an t-slighe, ma tha IP sònraichte air a sparradh gu sònraichte cruaidh, faodaidh tu casg a chuir air IPan fa leth (no subnets) mar seo ann an PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockAir an t-slighe, tha Elastic, a bharrachd air Winlogbeat, cuideachd , a dh'fhaodas sùil a chumail air faidhlichean agus pròiseasan air an t-siostam. Tha tagradh SIEM (Fiosrachadh Tèarainteachd & Riaghladh Tachartas) ann an Kibana cuideachd. Dh’ fheuch mi an dà chuid, ach chan fhaca mi mòran buannachd - tha e a’ coimhead coltach gum bi Auditbeat nas fheumaile airson siostaman Linux, agus chan eil SIEM air dad tuigseach a shealltainn dhomh fhathast.
Uill, molaidhean deireannach:
- Dèan cùl-taic fèin-ghluasadach cunbhalach.
- stàlaich Ùrachaidhean Tèarainteachd ann an deagh àm
Bònas: liosta de luchd-cleachdaidh 50 a chaidh a chleachdadh gu tric airson oidhirpean logadh a-steach RDP
"user.name: A' teàrnadh"
Count
dftd7c (ainm aoigheachd)
842941
winsrv1 (ainm aoigheachd)
266525
RIAGHALTAS
180678
rianadair
163842
rianaire
53541
michael
23101
frithealaiche
21983
steve
21936
Iain
21927
Paul
21913
fàilteachaidh
21909
mike
21899
oifis
21888
sganair
21887
Leth-bhreac
21867
Daibhidh
21865
chris
21860
sealbhadair
21855
manaidsear
21852
rianaire
21841
brian
21839
rianadair
21837
chomharra
21824
luchd-obrach
21806
ADMIN
12748
Root
7772
RIAGHLADH
7325
TAIC
5577
TAIC
5418
CLEACHDADH
4558
admin
2832
TEST
1928
mysql
1664
rianachd
1652
AN T-EILEANACH
1322
CLEACHDADH1
1179
SGRÌOBHAICHE
1121
SCAN
1032
RIAGHLADH
842
RIAGHLADH1
525
BACKUP
518
MySqlAdmin
518
LAOIDH
490
CLEACHDADH2
466
TEMP
452
SQLADMIN
450
CLEACHDADH3
441
1
422
RIAGHLADH
418
sealbhadair
410
Source: www.habr.com