Mwen te souvan li opinyon ke kenbe yon pò RDP (Remote Desktop Protocol) ouvè sou entènèt la trè danjere epi yo pa ta dwe fè. Men, ou bezwen bay aksè a RDP swa atravè yon VPN, oswa sèlman nan sèten adrès IP "blan".
Mwen administre plizyè Windows Servers pou ti konpayi kote mwen te gen pou m bay aksè aleka nan Windows Server pou kontab yo. Sa a se tandans modèn - travay nan kay la. Byen vit, mwen reyalize ke toumante kontab VPN se yon travay engra, ak kolekte tout IP yo pou lis blan an pa pral travay, paske adrès IP moun yo dinamik.
Se poutèt sa, mwen te pran wout ki pi senp - voye pò RDP a deyò. Pou jwenn aksè, kontab kounye a bezwen kouri RDP epi antre non host la (ki gen ladan pò), non itilizatè ak modpas.
Nan atik sa a mwen pral pataje eksperyans mwen (pozitif ak pa tèlman pozitif) ak rekòmandasyon.
Risk
Ki sa ou riske lè w louvri pò RDP la?
1) Aksè san otorizasyon nan done sansib
Si yon moun devine modpas RDP a, yo pral kapab jwenn done ke ou vle kenbe prive: estati kont, balans, done kliyan, ...
2) Pèt done
Pou egzanp, kòm yon rezilta nan yon viris ransomware.
Oswa yon aksyon ekspre pa yon atakè.
3) Pèt estasyon travay
Travayè yo bezwen travay, men sistèm nan konpwomèt epi yo bezwen re-enstale / restore / konfigirasyon.
4) Konpwomi rezo lokal la
Si yon atakè te jwenn aksè nan yon òdinatè Windows, Lè sa a, soti nan òdinatè sa a li pral kapab jwenn aksè nan sistèm ki inaksesib soti nan deyò a, soti nan entènèt la. Pou egzanp, ranpli pataje, nan enprimant rezo, elatriye.
Mwen te gen yon ka kote Windows Server kenbe yon ransomware
ak ransomware sa a premye chifre pi fò nan dosye yo sou C: kondwi a ak Lè sa a, te kòmanse ankripte dosye yo sou NAS la sou rezo a. Depi NAS la te Synology, ak snapshots configuré, mwen retabli NAS la nan 5 minit, epi reenstale Windows Server nan grafouyen.
Obsèvasyon ak Rekòmandasyon
Mwen kontwole Windows Servers lè l sèvi avèk , ki voye mòso bwa bay ElasticSearch. Kibana gen plizyè vizyalizasyon, epi mwen menm mwen mete kanpe yon tablodbò koutim.
Siveyans tèt li pa pwoteje, men li ede detèmine mezi ki nesesè yo.
Men kèk obsèvasyon:
a) RDP pral fòse brital.
Sou youn nan sèvè yo, mwen enstale RDP pa sou pò estanda 3389 la, men sou 443 - byen, mwen pral degize tèt mwen kòm HTTPS. Li pwobableman vo chanje pò a soti nan yon sèl estanda a, men li pa pral fè anpil byen. Men estatistik ki soti nan sèvè sa a:
Li ka wè ke nan yon semèn te gen prèske 400 tantativ san siksè konekte atravè RDP.
Li ka wè ke te gen tantativ konekte soti nan 55 adrès IP (kèk adrès IP te deja bloke pa mwen).
Sa a dirèkteman sijere konklizyon an ke ou bezwen mete fail2ban, men
Pa gen okenn sèvis piblik konsa pou Windows.
Gen yon koup nan pwojè abandone sou Github ki sanble fè sa, men mwen pa menm eseye enstale yo:
Genyen tou sèvis piblik peye, men mwen pa te konsidere yo.
Si ou konnen yon sèvis piblik sous louvri pou objektif sa a, tanpri pataje li nan kòmantè yo.
Mete ajou: Kòmantè yo sijere ke pò 443 se yon move chwa, epi li pi bon yo chwazi pò segondè (32000 +), paske 443 se tcheke pi souvan, ak rekonèt RDP sou pò sa a se pa yon pwoblèm.
b) Gen sèten non itilizatè ke atakè yo pito
Li ka wè ke rechèch la fèt nan yon diksyonè ak non diferan.
Men, men sa mwen remake: yon kantite siyifikatif tantativ ap itilize non sèvè a kòm yon login. Rekòmandasyon: Pa sèvi ak menm non pou òdinatè a ak itilizatè a. Anplis de sa, pafwa li sanble ke yo ap eseye analize non sèvè a yon jan kanmenm: pou egzanp, pou yon sistèm ki gen non DESKTOP-DFTHD7C, pifò tantativ pou konekte yo se ak non DFTHD7C:
An konsekans, si w gen yon òdinatè DESKTOP-MARIA, pwobableman w ap eseye konekte kòm itilizatè MARIA.
Yon lòt bagay mwen remake nan mòso bwa yo: sou pifò sistèm, pifò tantativ pou konekte yo ak non "administratè". Ak sa a se pa san rezon, paske nan anpil vèsyon nan Windows, itilizatè sa a egziste. Anplis, li pa ka efase. Sa a senplifye travay la pou atakè yo: olye pou yo devine yon non ak yon modpas, ou sèlman bezwen devine modpas la.
By wout la, sistèm nan ki kenbe ransomware la te gen Administratè itilizatè a ak modpas Murmansk#9. Mwen toujou pa sèten ki jan sistèm sa a te rache, paske mwen te kòmanse kontwole jis apre ensidan sa a, men mwen panse ke twòp chans.
Se konsa, si itilizatè Administratè a pa ka efase, Lè sa a, kisa ou ta dwe fè? Ou ka chanje non li!
Rekòmandasyon ki soti nan paragraf sa a:
- pa sèvi ak non itilizatè a nan non òdinatè a
- asire w ke pa gen okenn itilizatè Administratè sou sistèm nan
- sèvi ak modpas solid
Se konsa, mwen te gade plizyè Windows Servers anba kontwòl mwen ke yo te fòse brital pou apeprè de ane kounye a, epi san siksè.
Kouman pou mwen konnen li pa reyisi?
Paske nan Ekran ki anwo yo ou ka wè ke gen mòso bwa nan apèl RDP ki gen siksè, ki gen enfòmasyon yo:
- soti nan ki IP
- soti nan ki òdinatè (hostname)
- non itilizatè
- enfòmasyon GeoIP
Apre sa, mwen tcheke la regilyèman - pa gen okenn anomali yo te jwenn.
By wout la, si yo te fòse yon IP patikilye patikilyèman difisil, Lè sa a, ou ka bloke IP endividyèl (oswa subnet) tankou sa a nan PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockBy wout la, Elastic, nan adisyon a Winlogbeat, tou gen , ki ka kontwole dosye ak pwosesis sou sistèm nan. Genyen tou yon aplikasyon SIEM (Security Information & Event Management) nan Kibana. Mwen te eseye tou de, men pa t 'wè anpil benefis - li sanble Auditbeat pral pi itil pou sistèm Linux, epi SIEM pa te montre m 'anyen konprann ankò.
Oke, rekòmandasyon final yo:
- Fè sovgad otomatik regilye.
- enstale Mizajou Sekirite nan yon fason apwopriye
Bonis: lis 50 itilizatè ki pi souvan itilize pou tantativ RDP konekte
"user.name: Desandan"
Konte
dfthd7c (non animatè)
842941
winsrv1 (non animatè)
266525
ADMINISTRATÈ
180678
administratè
163842
Administratè
53541
Michael
23101
sèvè
21983
steve
21936
Jan
21927
Pòl
21913
Travay Biwo
21909
Mike
21899
biwo
21888
eskanè
21887
analysis
21867
David
21865
Chris
21860
mèt kay
21855
manadjè
21852
administratè
21841
brian
21839
administratè
21837
mak
21824
anplwaye
21806
ADMIN
12748
Rasin
7772
ADMINISTRATÈ
7325
POU SIPÒ POU
5577
SIP
5418
Itilizatè
4558
admin
2832
EGZAMEN
1928
mysql
1664
Admin
1652
Envite
1322
Itilizatè 1
1179
ESKANÈ
1121
SCAN
1032
ADMINISTRATÈ
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
RESEPSYON
490
Itilizatè 2
466
Tanperati
452
SQLADMIN
450
Itilizatè 3
441
1
422
MANAGER
418
PWOPRIYETÈ
410
Sous: www.habr.com