Ég hef oft lesið þá skoðun að það sé mjög óöruggt að halda RDP (Remote Desktop Protocol) tengi opnu fyrir internetinu og ætti ekki að gera það. En þú þarft að veita aðgang að RDP annað hvort í gegnum VPN, eða aðeins frá ákveðnum „hvítum“ IP tölum.
Ég hef umsjón með nokkrum Windows Servers fyrir lítil fyrirtæki þar sem mér hefur verið falið að veita endurskoðendum fjaraðgang að Windows Server. Þetta er nútímastefnan - að vinna heima. Nokkuð fljótt áttaði ég mig á því að það er vanþakklátt verkefni að kvelja VPN endurskoðendur og að safna öllum IP-tölum fyrir hvíta listann mun ekki virka, vegna þess að IP-tölur fólks eru kraftmiklar.
Þess vegna fór ég einföldustu leiðina - áframsendi RDP höfnina út á við. Til að fá aðgang þurfa endurskoðendur nú að keyra RDP og slá inn hýsingarnafnið (þar á meðal port), notandanafn og lykilorð.
Í þessari grein mun ég deila reynslu minni (jákvæðum og ekki svo jákvæðum) og ráðleggingum.
Áhætta
Hverju ertu að hætta með því að opna RDP tengið?
1) Óviðkomandi aðgangur að viðkvæmum gögnum
Ef einhver giskar á RDP lykilorðið mun hann geta fengið gögn sem þú vilt halda persónulegum: reikningsstöðu, stöður, gögn viðskiptavina, ...
2) Gagnatap
Til dæmis vegna lausnarhugbúnaðar víruss.
Eða vísvitandi aðgerð af hálfu árásarmanns.
3) Tap á vinnustöð
Starfsmenn þurfa að vinna, en kerfið er í hættu og þarf að setja upp/endurheimta/stilla það aftur.
4) Málamiðlun staðarnetsins
Ef árásarmaður hefur fengið aðgang að Windows tölvu, þá mun hann frá þessari tölvu geta nálgast kerfi sem eru óaðgengileg utan frá, af netinu. Til dæmis til að deila skrám, til netprentara o.s.frv.
Ég hafði tilfelli þar sem Windows Server náði lausnarhugbúnaði
og þessi lausnarhugbúnaður dulkóðaði fyrst flestar skrárnar á C: drifinu og byrjaði síðan að dulkóða skrárnar á NAS-netinu yfir netið. Þar sem NAS var Synology, með skyndimyndum stillt, endurheimti ég NAS á 5 mínútum og setti upp Windows Server aftur frá grunni.
Athuganir og tillögur
Ég fylgist með Windows Servers með því að nota , sem senda logs til ElasticSearch. Kibana hefur nokkrar sjónmyndir og ég setti líka upp sérsniðið mælaborð.
Vöktun sjálft verndar ekki, en það hjálpar til við að ákvarða nauðsynlegar ráðstafanir.
Hér eru nokkrar athuganir:
a) RDP verður gróft þvingað.
Á einum af netþjónunum setti ég upp RDP ekki á venjulegu tengi 3389, heldur á 443 - jæja, ég mun dulbúa mig sem HTTPS. Það er líklega þess virði að breyta portinu frá venjulegu, en það mun ekki gera mikið gagn. Hér eru tölfræðin frá þessum netþjóni:
Það má sjá að á viku voru tæplega 400 misheppnaðar tilraunir til að skrá sig inn í gegnum RDP.
Það má sjá að reynt var að skrá sig inn frá 55 IP tölu (sumar IP tölur voru þegar lokaðar af mér).
Þetta bendir beint á þá niðurstöðu að þú þurfir að stilla fail2ban, en
Það er ekkert slíkt tól fyrir Windows.
Það eru nokkur yfirgefin verkefni á Github sem virðast gera þetta, en ég hef ekki einu sinni reynt að setja þau upp:
Það eru líka greiddar veitur, en ég hef ekki skoðað þær.
Ef þú þekkir opinn hugbúnað í þessum tilgangi, vinsamlegast deildu því í athugasemdunum.
Uppfæra: Athugasemdirnar bentu til þess að höfn 443 væri slæmur kostur og það er betra að velja há höfn (32000+), því 443 er skannað oftar og það er ekki vandamál að þekkja RDP á þessari höfn.
b) Það eru ákveðin notendanöfn sem árásarmenn kjósa
Það má sjá að leitin er gerð í orðabók með mismunandi nöfnum.
En hér er það sem ég tók eftir: verulegur fjöldi tilrauna er að nota netþjónnafnið sem innskráningu. Tilmæli: Ekki nota sama nafn fyrir tölvuna og notandann. Þar að auki, stundum lítur út fyrir að þeir séu að reyna að flokka nafn netþjónsins einhvern veginn: til dæmis, fyrir kerfi með nafninu DESKTOP-DFTHD7C, eru flestar tilraunir til að skrá þig inn með nafninu DFTHD7C:
Samkvæmt því, ef þú ert með DESKTOP-MARIA tölvu, muntu líklega reyna að skrá þig inn sem MARIA notandi.
Annað sem ég tók eftir í annálunum: á flestum kerfum eru flestar tilraunir til að skrá þig inn með nafninu „stjórnandi“. Og þetta er ekki að ástæðulausu, því í mörgum útgáfum af Windows er þessi notandi til. Þar að auki er ekki hægt að eyða því. Þetta einfaldar verkefnið fyrir árásarmenn: í stað þess að giska á nafn og lykilorð þarftu aðeins að giska á lykilorðið.
Við the vegur, kerfið sem náði lausnarhugbúnaðinum hafði notandann Administrator og lykilorðið Murmansk#9. Ég er enn ekki viss um hvernig brotist var inn á það kerfi, því ég byrjaði að fylgjast með því rétt eftir það atvik, en ég held að það sé líklegt að það sé of mikið.
Svo ef ekki er hægt að eyða Administrator notandanum, hvað ættirðu þá að gera? Þú getur endurnefna það!
Tilmæli úr þessari málsgrein:
- ekki nota notandanafnið í tölvunafninu
- vertu viss um að enginn stjórnandi notandi sé á kerfinu
- nota sterk lykilorð
Svo ég hef horft á nokkra Windows netþjóna undir minni stjórn vera þvingaðir í nokkur ár núna og án árangurs.
Hvernig veit ég að það hefur ekki tekist?
Vegna þess að á skjámyndunum hér að ofan geturðu séð að það eru skrár yfir árangursríkar RDP símtöl, sem innihalda upplýsingarnar:
- frá hvaða IP
- frá hvaða tölvu (hýsingarheiti)
- notandanafn
- GeoIP upplýsingar
Og ég skoða þar reglulega - engin frávik hafa fundist.
Við the vegur, ef tiltekið IP er sérstaklega hart þvingað, þá geturðu lokað einstökum IPs (eða undirnetum) eins og þetta í PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockVið the vegur, Elastic, auk Winlogbeat, hefur líka , sem getur fylgst með skrám og ferlum á kerfinu. Það er líka SIEM (Security Information & Event Management) forrit í Kibana. Ég reyndi bæði, en sá ekki mikinn ávinning - það lítur út fyrir að Auditbeat muni nýtast betur fyrir Linux kerfi og SIEM hefur ekki sýnt mér neitt skiljanlegt ennþá.
Jæja, lokaráðleggingar:
- Gerðu reglulega sjálfvirka öryggisafrit.
- setja upp öryggisuppfærslur tímanlega
Bónus: listi yfir 50 notendur sem voru oftast notaðir fyrir RDP innskráningartilraunir
"user.name: Descending"
Telja
dfthd7c (hýsingarheiti)
842941
winsrv1 (hýsingarheiti)
266525
STJÓRNANDI
180678
stjórnandi
163842
stjórnandi
53541
Michael
23101
miðlara
21983
Steve
21936
John
21927
Paul
21913
Móttaka
21909
Mike
21899
skrifstofa
21888
skanni
21887
skanna
21867
david
21865
Chris
21860
eigandi
21855
framkvæmdastjóri
21852
administrateur
21841
Brian
21839
stjórnandi
21837
merkja
21824
starfsfólk
21806
ADMIN
12748
ROOT
7772
STJÓRNANDI
7325
STUÐNINGUR
5577
MEDIUM
5418
NOTANDI
4558
Admin
2832
TEST
1928
mysql
1664
admin
1652
GIST
1322
NOTANDI1
1179
SCANNER
1121
SCAN
1032
STJÓRNANDI
842
ADMIN1
525
TIL BAKA
518
MySqlAdmin
518
Móttaka
490
NOTANDI2
466
TEMP
452
SQLADMIN
450
NOTANDI3
441
1
422
MANAGER
418
EIGANDI
410
Heimild: www.habr.com