Ես հաճախ եմ կարդացել այն կարծիքը, որ RDP (Remote Desktop Protocol) պորտը ինտերնետում բաց պահելը շատ վտանգավոր է և չպետք է դա անել: Բայց դուք պետք է մուտք գործեք RDP կամ VPN-ի միջոցով, կամ միայն որոշակի «սպիտակ» IP հասցեներից.
Ես կառավարում եմ մի քանի Windows սերվերներ փոքր ընկերությունների համար, որտեղ ինձ հանձնարարվել է հաշվապահների համար Windows Server-ի հեռավոր մուտք ապահովել: Սա ժամանակակից միտում է՝ աշխատել տանից։ Շատ արագ ես հասկացա, որ VPN հաշվապահներին տանջելը անշնորհակալ գործ է, և սպիտակ ցուցակի համար բոլոր IP-ները հավաքելը չի աշխատի, քանի որ մարդկանց IP հասցեները դինամիկ են.
Հետևաբար, ես գնացի ամենապարզ երթուղին՝ փոխանցեցի RDP նավահանգիստը դեպի դրս: Մուտք գործելու համար հաշվապահներն այժմ պետք է գործարկեն RDP և մուտքագրեն հոսթի անունը (ներառյալ նավահանգիստը), օգտվողի անունը և գաղտնաբառը:
Այս հոդվածում ես կկիսվեմ իմ փորձով (դրական և ոչ այնքան դրական) և առաջարկություններով:
Ռիսկերի
Ի՞նչ եք վտանգում RDP նավահանգիստը բացելով:
1) Չլիազորված մուտք դեպի զգայուն տվյալներ
Եթե ինչ-որ մեկը կռահի RDP գաղտնաբառը, նա կկարողանա ստանալ տվյալներ, որոնք դուք ցանկանում եք գաղտնի պահել՝ հաշվի կարգավիճակը, մնացորդները, հաճախորդների տվյալները, ...
2) տվյալների կորուստ
Օրինակ՝ փրկագին վիրուսի արդյունքում։
Կամ հարձակվողի կողմից կանխամտածված գործողություն:
3) աշխատակայանի կորուստ
Աշխատողները պետք է աշխատեն, բայց համակարգը վտանգված է և պետք է նորից տեղադրվի/վերականգնվի/կարգավորվի:
4) լոկալ ցանցի փոխզիջում
Եթե հարձակվողը մուտք է ստացել Windows համակարգիչ, ապա այս համակարգչից նա կկարողանա մուտք գործել այնպիսի համակարգեր, որոնք անհասանելի են դրսից՝ ինտերնետից։ Օրինակ՝ ֆայլերի համօգտագործումներ, ցանցային տպիչներ և այլն:
Ես ունեի մի դեպք, երբ Windows Server-ը բռնեց փրկագին
և այս փրկագին նախ գաղտնագրեց C: drive-ի ֆայլերի մեծ մասը, այնուհետև սկսեց գաղտնագրել NAS-ի ֆայլերը ցանցի միջոցով: Քանի որ ԳԱԱ-ն Synology էր, snapshots-ը կազմաձևված, ես 5 րոպեում վերականգնեցի NAS-ը և նորից տեղադրեցի Windows Server-ը զրոյից:
Դիտարկումներ և առաջարկություններ
Ես վերահսկում եմ Windows սերվերները՝ օգտագործելով , որոնք ուղարկում են տեղեկամատյանները ElasticSearch-ին: Kibana-ն ունի մի քանի վիզուալիզացիա, և ես նաև տեղադրեցի հատուկ վահանակ:
Մոնիտորինգն ինքնին չի պաշտպանում, բայց օգնում է որոշել անհրաժեշտ միջոցները:
Ահա մի քանի դիտարկումներ.
ա) RDP-ն կոպիտ հարկադրված կլինի:
Սերվերներից մեկի վրա ես տեղադրել եմ RDP ոչ թե ստանդարտ պորտի 3389, այլ 443-ի վրա, լավ, ես ինձ կքողարկեմ որպես HTTPS: Հավանաբար, արժե փոխել պորտը ստանդարտից, բայց դա շատ լավ բան չի տա: Ահա այս սերվերի վիճակագրությունը.
Կարելի է տեսնել, որ մեկ շաբաթվա ընթացքում գրանցվել է RDP-ի միջոցով մուտք գործելու գրեթե 400 անհաջող փորձ։
Երևում է, որ 55 IP հասցեներից մուտք գործելու փորձեր են եղել (որոշ IP հասցեներ արդեն արգելափակվել են իմ կողմից)։
Սա ուղղակիորեն հուշում է այն եզրակացության, որ դուք պետք է սահմանեք fail2ban, բայց
Windows-ի համար նման օգտակար ծրագիր չկա:
Github-ում կան մի քանի լքված նախագծեր, որոնք կարծես դա անում են, բայց ես նույնիսկ չեմ փորձել դրանք տեղադրել.
Կան նաև վճարովի կոմունալ ծառայություններ, բայց ես դրանք չեմ դիտարկել։
Եթե դուք գիտեք այս նպատակով բաց կոդով օգտակար ծրագիր, խնդրում ենք կիսվել այն մեկնաբանություններում:
ԹարմացումներՄեկնաբանությունները հուշում էին, որ 443 նավահանգիստը վատ ընտրություն է, և ավելի լավ է ընտրել բարձր պորտեր (32000+), քանի որ 443-ն ավելի հաճախ է սկանավորվում, և այս պորտում RDP-ն ճանաչելը խնդիր չէ:
բ) Կան որոշակի օգտանուններ, որոնք նախընտրում են հարձակվողները
Երևում է, որ որոնումն իրականացվում է տարբեր անվանումներով բառարանում։
Բայց ահա այն, ինչ ես նկատեցի. զգալի թվով փորձեր օգտագործում են սերվերի անունը որպես մուտք: Առաջարկություն. Մի օգտագործեք նույն անունը համակարգչի և օգտագործողի համար: Ավելին, երբեմն թվում է, թե նրանք փորձում են ինչ-որ կերպ վերլուծել սերվերի անունը. օրինակ, DESKTOP-DFTHD7C անունով համակարգի համար մուտք գործելու ամենաշատ փորձերը կատարվում են DFTHD7C անունով.
Համապատասխանաբար, եթե դուք ունեք DESKTOP-MARIA համակարգիչ, հավանաբար կփորձեք մուտք գործել որպես MARIA օգտվող:
Մեկ այլ բան, որ ես նկատեցի տեղեկամատյաններից. համակարգերի մեծ մասում մուտք գործելու փորձերի մեծ մասը «ադմինիստրատոր» անունով է: Եվ սա առանց պատճառի չէ, քանի որ Windows-ի շատ տարբերակներում այս օգտվողը գոյություն ունի: Ավելին, այն չի կարող ջնջվել: Սա հեշտացնում է հարձակվողների առաջադրանքը. անուն և գաղտնաբառ գուշակելու փոխարեն անհրաժեշտ է միայն գուշակել գաղտնաբառը:
Ի դեպ, այն համակարգը, որը որսացել է փրկագին, ունեցել է օգտատերի Administrator և գաղտնաբառը Murmansk#9։ Ես դեռ վստահ չեմ, թե ինչպես է կոտրվել այդ համակարգը, քանի որ ես սկսեցի մոնիտորինգ անել հենց այդ դեպքից հետո, բայց կարծում եմ, որ այդ գերհզորությունը հավանական է:
Այսպիսով, եթե Administrator օգտվողը չի կարող ջնջվել, ապա ինչ պետք է անեք: Դուք կարող եք վերանվանել այն:
Առաջարկություններ այս պարբերությունից.
- մի օգտագործեք օգտվողի անունը համակարգչի անվան մեջ
- համոզվեք, որ համակարգում Ադմինիստրատոր օգտվող չկա
- օգտագործել ուժեղ գաղտնաբառեր
Այսպիսով, ես դիտում եմ իմ հսկողության տակ գտնվող մի քանի Windows սերվերների կոպիտ պարտադրանքը արդեն մոտ մի քանի տարի և անհաջող:
Ինչպե՞ս իմանամ, որ դա անհաջող է:
Քանի որ վերևի սքրինշոթներում դուք կարող եք տեսնել, որ կան հաջողված RDP զանգերի մատյաններ, որոնք պարունակում են տեղեկատվությունը.
- որից IP
- որ համակարգչից (հյուրընկալողի անունը)
- օգտագործողի անունը
- GeoIP տեղեկատվություն
Եվ ես այնտեղ պարբերաբար ստուգում եմ՝ ոչ մի անոմալիա չի հայտնաբերվել։
Ի դեպ, եթե կոնկրետ IP-ն հատկապես կոշտ կերպով պարտադրվում է, ապա կարող եք արգելափակել առանձին IP-ներ (կամ ենթացանցեր), ինչպիսիք են PowerShell-ում.
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockԻ դեպ, Elastic-ը, բացի Winlogbeat-ից, ունի նաև , որը կարող է վերահսկել ֆայլերը և գործընթացները համակարգում: Կիբանայում կա նաև SIEM (Անվտանգության տեղեկատվության և իրադարձությունների կառավարում) հավելված: Ես փորձեցի երկուսն էլ, բայց մեծ օգուտ չտեսա. թվում է, որ Auditbeat-ն ավելի օգտակար կլինի Linux համակարգերի համար, և SIEM-ն ինձ դեռ հասկանալի ոչինչ ցույց չի տվել:
Դե, վերջնական առաջարկություններ.
- Կատարեք կանոնավոր ավտոմատ կրկնօրինակումներ:
- ժամանակին տեղադրել անվտանգության թարմացումները
Բոնուս՝ 50 օգտատերերի ցանկ, որոնք առավել հաճախ օգտագործվել են RDP մուտք գործելու փորձերի համար
«user.name: Նվազող»
Հաշվել
dfthd7c (հյուրընկալողի անունը)
842941
winsrv1 (հյուրընկալողի անունը)
266525
ԿԱՌԱՎԱՐՉԻ
180678
ադմինիստրատոր
163842
Ադմինիստրատոր
53541
michael
23101
սերվեր
21983
steve
21936
john
21927
paul
21913
ընդունում
21909
միկրոֆոն
21899
գրասենյակ
21888
scanner
21887
տվյալների հաջորդաբար ընթերցումը
21867
david
21865
Chris
21860
սեփականատեր
21855
մենեջեր
21852
administrateur
21841
բրիան
21839
ադմինիստրատոր
21837
նշել
21824
անձնակազմ
21806
ADMIN
12748
ROOT
7772
ԱԴԻՆԻՍՏՐԱՏՈՐ
7325
ԱՋԱԿՑՈՒԹՅՈՒՆ
5577
ԱՋԱԿՑՈՒԹՅՈՒՆ
5418
USER
4558
admin մասին
2832
TEST
1928
MySql- ը
1664
admin
1652
GUEST
1322
ՕԳՏԱԳՈՐՈ 1
1179
ՍԿԱՆԵՐ
1121
SCAN
1032
ԱԴԻՆԻՍՏՐԱՏՈՐ
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
ԸՆԴՈՒՆՈՒՄ
490
ՕԳՏԱԳՈՐՈ 2
466
TEMP- ը
452
SQLADMIN
450
ՕԳՏԱԳՈՐՈ 3
441
1
422
MANAGER
418
ՍԵՓԱԿԱՆԱՏԵՐ
410
Source: www.habr.com