Ana m agụkarị echiche na idobe ọdụ ụgbọ mmiri RDP (Remote Desktop Protocol) na ịntanetị adịghị mma na ekwesighi ime ya. Mana ịkwesịrị ịnye ohere ịnweta RDP site na VPN, ma ọ bụ naanị site na ụfọdụ adreesị IP "ọcha".
Ana m elekọta ọtụtụ sava Windows maka obere ụlọ ọrụ ebe e nyere m ọrụ ịnye ohere ịnweta Windows Server maka ndị na-akwụ ụgwọ. Nke a bụ usoro nke oge a - na-arụ ọrụ site n'ụlọ. Ngwa ngwa, achọpụtara m na mmekpa ahụ ndị na-edekọ ego VPN bụ ọrụ enweghị ekele, na ịnakọta IP niile maka ndepụta ọcha agaghị arụ ọrụ, n'ihi na adreesị IP ndị mmadụ dị ike.
Ya mere, ejiri m ụzọ kachasị mfe - zigara ọdụ ụgbọ mmiri RDP n'èzí. Iji nweta ohere, ndị na-akwụ ụgwọ ugbu a kwesịrị ịgba ọsọ RDP wee tinye aha nnabata (gụnyere ọdụ ụgbọ mmiri), aha njirimara na paswọọdụ.
N'isiokwu a, m ga-ekekọrịta ahụmahụ m (nke ọma na ọ bụghị nke ọma) na ndụmọdụ.
Ihe ize ndụ
Kedu ihe ị na-etinye n'ihe ize ndụ site na imepe ọdụ ụgbọ mmiri RDP?
1) Nweta data nwere mmetụta na-enweghị ikike
Ọ bụrụ na mmadụ echee okwuntughe RDP, ha ga-enwe ike nweta data ịchọrọ idobe nzuzo: ọkwa akaụntụ, nha nha, data ndị ahịa, ...
2) Data ọnwụ
Dịka ọmụmaatụ, n'ihi nje ransomware.
Ma ọ bụ ihe onye na-awakpo kpachaara anya mee.
3) Ọnwụ nke ebe ọrụ
Ndị ọrụ kwesịrị ịrụ ọrụ, mana usoro ahụ mebiri emebi ma ọ dị mkpa ka etinyegharịa / weghachite / hazie ya.
4) Nkwekọrịta nke netwọk mpaghara
Ọ bụrụ na onye na-awakpo enwetala kọmputa Windows, mgbe ahụ, site na kọmputa a, ọ ga-enwe ike ịnweta sistemụ na-enweghị ike ịnweta site na mpụga, site na Ịntanetị. Dịka ọmụmaatụ, iji faịlụ nkesa, na ndị na-ebi akwụkwọ netwọk, wdg.
Enwere m ikpe ebe Windows Server jidere ihe mgbapụta
na ransomware nke a bu ụzọ zoo ọtụtụ faịlụ dị na C: mbanye wee malite izochi faịlụ ndị dị na NAS na netwọkụ. Ebe NAS bụ Synology, na-ahazi snapshots, eweghachiri m NAS na nkeji 5, wee tinyegharịa Windows Server site na ọkọ.
Nlebanya na Aro
Ana m enyocha Windows Servers iji , nke na-eziga ndekọ na ElasticSearch. Kibana nwere ọtụtụ ihe nlere anya, m na-edozikwa dashboard omenala.
Nleba anya n'onwe ya adịghị echebe, ma ọ na-enyere aka ikpebi usoro ndị dị mkpa.
Nke a bụ ụfọdụ nlebanya:
a) A ga-amanye RDP nke ukwuu.
N'otu n'ime sava ahụ, etinyere m RDP ọ bụghị na ọdụ ụgbọ mmiri 3389, mana na 443 - nke ọma, m ga-agbanwe onwe m dị ka HTTPS. O nwere ike ịbụ na ọ bara uru ịgbanwe ọdụ ụgbọ mmiri site na ọkọlọtọ, mana ọ gaghị eme nke ọma. Nke a bụ ọnụ ọgụgụ sitere na sava a:
Enwere ike ịhụ na n'ime otu izu, ọ fọrọ nke nta ka ọ bụrụ 400 mgbalị ndị na-emeghị nke ọma ịbanye site na RDP.
Enwere ike ịhụ na enwere mbọ ịbanye na adreesị IP 55 (ụfọdụ adreesị IP ejirila m gbochie).
Nke a na-egosi kpọmkwem nkwubi okwu na ịkwesịrị ịtọ fail2ban, mana
Enweghị ụdị ngwa a maka Windows.
Enwere ọrụ ole na ole gbahapụrụ agbahapụ na Github ndị yiri ka ha na-eme nke a, mana anwabeghị m itinye ha:
Enwekwara ụlọ ọrụ akwụ ụgwọ, mana echeghị m ha.
Ọ bụrụ na ị maara akụrụngwa mepere emepe maka ebumnuche a, biko kesaa ya na nkwupụta.
update: Ihe ndị a na-atụ aro na ọdụ ụgbọ mmiri 443 bụ nhọrọ na-adịghị mma, ọ ka mma ịhọrọ ọdụ ụgbọ mmiri dị elu (32000+), n'ihi na 443 na-enyocha ugboro ugboro, na ịmara RDP na ọdụ ụgbọ mmiri a abụghị nsogbu.
update: Okwu ndị ahụ tụrụ aro na ụdị akụrụngwa dị:
b) Enwere ụfọdụ aha njirimara nke ndị na-awakpo na-ahọrọ
Enwere ike ịhụ na a na-eme ọchụchọ ahụ n'akwụkwọ ọkọwa okwu nwere aha dị iche iche.
Ma nke a bụ ihe m chọpụtara: ọnụ ọgụgụ dị ịrịba ama nke mgbalị na-eji aha nkesa dị ka nbanye. Nkwanye: Ejila otu aha maka kọmputa na onye ọrụ. Ọzọkwa, mgbe ụfọdụ ọ dị ka ha na-agbalị ịkọwa aha ihe nkesa ahụ n'ụzọ ụfọdụ: dịka ọmụmaatụ, maka sistemụ nwere aha DESKTOP-DFTHD7C, mbọ kachasị iji banye bụ aha DFTHD7C:
N'ihi ya, ọ bụrụ na ị nwere kọmputa DESKTOP-MARIA, ọ ga-abụ na ị na-agbalị ịbanye dị ka onye ọrụ MARIA.
Ihe ọzọ m chọpụtara site na ndekọ: n'ọtụtụ usoro, ọtụtụ mgbalị ịbanye na aha "onye nchịkwa". Ma nke a abụghị ihe kpatara ya, n'ihi na n'ọtụtụ nsụgharị nke Windows, onye ọrụ a dị. Ọzọkwa, enweghị ike ihichapụ ya. Nke a na-eme ka ọrụ dị mfe maka ndị na-awakpo: kama ịkọ aha na okwuntughe, naanị ị ga-achọ ịma paswọọdụ.
Site n'ụzọ, sistemụ jidere ihe mgbapụta ahụ nwere onye nchịkwa onye ọrụ na paswọọdụ Murmansk # 9. Amaghị m ka esi emebi sistemu ahụ, n'ihi na amalitere m ileba anya ozugbo ihe omume ahụ gasịrị, mana echere m na ọ ga-abụ na oke oke.
Yabụ ọ bụrụ na enweghị ike ihichapụ onye ọrụ nchịkwa, gịnị ka ị ga-eme? Ị nwere ike ịnyegharị ya aha!
Nkwanye sitere na paragraf a:
- ejikwala aha njirimara na aha kọmputa
- jide n'aka na ọ nweghị onye ọrụ nchịkwa na sistemụ
- jiri okwuntughe siri ike
Yabụ, anọ m na-ekiri ọtụtụ Windows Servers n'okpuru njikwa m ka a na-amanye m ihe dị ka afọ ole na ole ugbu a, na enweghị ihe ịga nke ọma.
Kedu ka m ga-esi mara na ọ naghị eme nke ọma?
N'ihi na na nseta ihuenyo dị n'elu ị nwere ike ịhụ na enwere ndekọ nke oku RDP na-aga nke ọma, nke nwere ozi:
- nke IP
- Kedu kọmputa (aha nnabata)
- Aha njirimara
- Ozi geoIP
Ana m elele ebe ahụ mgbe niile - ọ nweghị ihe adịghị mma a hụrụ.
Site n'ụzọ, ọ bụrụ na a na-amanye otu IP pụrụ iche nke ukwuu, ị nwere ike igbochi IP (ma ọ bụ subnets) nke ọ bụla dị ka nke a na PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockSite n'ụzọ, Elastic, na mgbakwunye na Winlogbeat, nwekwara , nke nwere ike nyochaa faịlụ na usoro na usoro. Enwekwara ngwa SIEM (Ozi nchekwa na njikwa ihe omume) na Kibana. Agbalịrị m ha abụọ, mana ahụghị m nnukwu uru - ọ dị ka Auditbeat ga-aba uru maka sistemụ Linux, SIEM egosibeghị m ihe ọ bụla nwere nghọta.
Ọfọn, ndụmọdụ ikpeazụ:
- Mee nkwado ndabere na mpaghara akpaaka oge niile.
- wụnye Mmelite Nche n'oge
Bonus: ndepụta nke ndị ọrụ 50 ndị a na-ejikarị maka mbọ nbanye RDP
"user.name: na-agbadata"
Gụọ
dfthd7c (aha nnabata)
842941
winsrv1 (aha nnabata)
266525
Onye nchịkwa
180678
nchịkwa
163842
Administrator
53541
michael
23101
server
21983
Steve
21936
john
21927
paul
21913
n'ikuku
21909
mike
21899
ụlọ ọrụ
21888
nyocha
21887
Doppler
21867
Devid
21865
chris
21860
nwe
21855
manager
21852
nchịkwa
21841
brian
21839
onye nlekọta
21837
akara
21824
mkpara
21806
ADMIN
12748
mgbọrọgwụ
7772
Onye nchịkwa
7325
Nkwado
5577
ỌTEDT.
5418
OJI
4558
admin
2832
MGBE
1928
Mysql
1664
Admin
1652
AHỤ
1322
AJER. 1
1179
Nyocha
1121
SCAN
1032
Onye nchịkwa
842
ADMIN1
525
Ndozi
518
MySqlAdmin
518
Nnabata
490
AJER. 2
466
Ọnwụ
452
SQLADMIN
450
AJER. 3
441
1
422
Jikwaa
418
nwe
410
isi: www.habr.com