Često sam čitao mišljenje da je držanje RDP (Remote Desktop Protocol) porta otvorenim za Internet vrlo nesigurno i da se to ne bi trebalo činiti. Ali trebate dati pristup RDP-u ili putem VPN-a, ili samo s određenih "bijelih" IP adresa.
Administriram nekoliko Windows poslužitelja za male tvrtke u kojima sam dobio zadatak osigurati udaljeni pristup Windows poslužitelju za računovođe. Ovo je moderni trend - rad od kuće. Vrlo brzo sam shvatio da je mučenje VPN računovođa nezahvalan zadatak, a prikupljanje svih IP adresa za bijelu listu neće uspjeti, jer su IP adrese ljudi dinamične.
Stoga sam krenuo najjednostavnijim putem - proslijedio sam RDP port prema van. Da bi dobili pristup, računovođe sada moraju pokrenuti RDP i unijeti naziv glavnog računala (uključujući port), korisničko ime i lozinku.
U ovom članku ću podijeliti svoje iskustvo (pozitivno i manje pozitivno) i preporuke.
Rizici
Što riskirate otvaranjem RDP porta?
1) Neovlašteni pristup osjetljivim podacima
Ako netko pogodi RDP lozinku, moći će dobiti podatke koje želite zadržati privatnima: status računa, stanja, podatke o kupcima, ...
2) Gubitak podataka
Na primjer, kao rezultat ransomware virusa.
Ili namjerna akcija napadača.
3) Gubitak radne stanice
Radnici moraju raditi, ali sustav je ugrožen i treba ga ponovno instalirati/vratiti/konfigurirati.
4) Ugroženost lokalne mreže
Ako je napadač dobio pristup Windows računalu, tada će s tog računala moći pristupiti sustavima koji su nedostupni izvana, s Interneta. Na primjer, za dijeljenje datoteka, mrežne pisače itd.
Imao sam slučaj u kojem je Windows Server uhvatio ransomware
i ovaj ransomware je prvo šifrirao većinu datoteka na disku C:, a zatim je počeo šifrirati datoteke na NAS-u preko mreže. Budući da je NAS bio Synology, s konfiguriranim snimkama, vratio sam NAS u 5 minuta i ponovno instalirao Windows Server ispočetka.
Zapažanja i preporuke
Pratim Windows poslužitelje pomoću
Sam nadzor ne štiti, ali pomaže u određivanju potrebnih mjera.
Evo nekih zapažanja:
a) RDP će biti grubo forsiran.
Na jednom od poslužitelja instalirao sam RDP ne na standardni port 3389, već na 443 - dobro, maskirat ću se kao HTTPS. Vjerojatno se isplati promijeniti port sa standardnog, ali to neće pomoći. Evo statistike s ovog poslužitelja:
Vidljivo je da je u tjedan dana bilo gotovo 400 neuspješnih pokušaja prijave preko RDP-a.
Vidi se da je bilo pokušaja prijave sa 55 IP adrese (neke IP adrese sam već blokirao).
Ovo izravno upućuje na zaključak da trebate postaviti fail2ban, ali
Ne postoji takav uslužni program za Windows.
Postoji nekoliko napuštenih projekata na Githubu koji to rade, ali nisam ih ni pokušao instalirati:
Ima i plaćenih režija, ali nisam ih razmatrao.
Ako znate uslužni program otvorenog koda za tu svrhu, podijelite ga u komentarima.
Nadopune: Komentari su sugerirali da je port 443 loš izbor i da je bolje izabrati visoke portove (32000+), jer se 443 češće skenira, a prepoznavanje RDP-a na ovom portu nije problem.
b) Postoje određena korisnička imena koja napadači preferiraju
Može se vidjeti da se pretraga provodi u rječniku s različitim nazivima.
Ali evo što sam primijetio: značajan broj pokušaja koristi ime poslužitelja kao prijavu. Preporuka: Nemojte koristiti isto ime za računalo i korisnika. Štoviše, ponekad izgleda kao da pokušavaju nekako analizirati naziv poslužitelja: na primjer, za sustav s imenom DESKTOP-DFTHD7C, najviše pokušaja prijave je s imenom DFTHD7C:
Sukladno tome, ako imate računalo DESKTOP-MARIA, vjerojatno ćete se pokušavati prijaviti kao MARIA korisnik.
Još jedna stvar koju sam primijetio iz zapisa: na većini sustava većina pokušaja prijave je s imenom "administrator". I to nije bez razloga, jer u mnogim verzijama sustava Windows ovaj korisnik postoji. Štoviše, ne može se izbrisati. Ovo pojednostavljuje zadatak za napadače: umjesto pogađanja imena i lozinke, trebate samo pogoditi lozinku.
Usput, sustav koji je uhvatio ransomware imao je korisnika Administrator i lozinku Murmansk#9. Još uvijek nisam siguran kako je taj sustav hakiran, jer sam počeo pratiti tek nakon tog incidenta, ali mislim da je pretjerivanje vjerojatno.
Dakle, ako se Administratorski korisnik ne može izbrisati, što trebate učiniti? Možete ga preimenovati!
Preporuke iz ovog paragrafa:
- nemojte koristiti korisničko ime u nazivu računala
- provjerite da na sustavu nema administratorskog korisnika
- koristiti jake lozinke
Dakle, već nekoliko godina gledam kako se nekoliko Windows poslužitelja pod mojom kontrolom brutalno forsira i bez uspjeha.
Kako da znam da je neuspješno?
Budući da na gornjim snimkama zaslona možete vidjeti da postoje zapisnici uspješnih RDP poziva koji sadrže informacije:
- s kojeg IP-a
- s kojeg računala (naziv glavnog računala)
- Korisničko ime
- GeoIP informacije
I tamo redovito provjeravam - nisu pronađene nikakve anomalije.
Usput, ako se određena IP adresa posebno teško forsira, možete blokirati pojedinačne IP adrese (ili podmreže) ovako u PowerShellu:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
Inače, Elastic, osim Winlogbeata, ima i
Pa, konačne preporuke:
- Pravite redovite automatske sigurnosne kopije.
- pravovremeno instalirajte sigurnosna ažuriranja
Bonus: popis od 50 korisnika koji su najčešće korišteni za pokušaje RDP prijave
"user.name: silazno"
Računati
dfthd7c (ime glavnog računala)
842941
winsrv1 (ime glavnog računala)
266525
ADMINISTRATOR
180678
administrator
163842
administrator
53541
Michael
23101
server
21983
Steve
21936
Jovan
21927
Pavle
21913
recepcija
21909
mikrofon
21899
ured
21888
skener
21887
skenirati
21867
David
21865
chris
21860
vlasnik
21855
menadžer
21852
administrateur
21841
Brian
21839
administrator
21837
označiti
21824
osoblje
21806
ADMIN
12748
KORIJEN
7772
ADMINISTRATOR
7325
PODRŠKA
5577
PODRŠKA
5418
USER
4558
admin
2832
TEST
1928
MySQL
1664
Admin
1652
GOST
1322
KORISNIK1
1179
SKENER
1121
SCAN
1032
ADMINISTRATOR
842
ADMINIST1
525
BACKUP
518
MySqlAdmin
518
RECEPCIJA
490
KORISNIK2
466
TEMP
452
SQLADMIN
450
KORISNIK3
441
1
422
MANAGER
418
VLASNIK
410
Izvor: www.habr.com