RDP (リモート デスクトップ プロトコル) ポートをインターネットに対して開いたままにしておくのは非常に危険であり、行うべきではないという意見をよく読んだことがあります。 ただし、VPN を介して、または特定の「ホワイト」IP アドレスからのみ RDP へのアクセスを許可する必要があります。
私は中小企業向けに複数の Windows Server を管理しており、会計士に Windows Server へのリモート アクセスを提供する任務を負っています。 これが現代のトレンド、在宅勤務です。 VPN 会計士を苦しめるのは報われない仕事であり、人々の IP アドレスは動的であるため、ホワイト リストのすべての IP を収集することはうまくいかないことがすぐにわかりました。
そこで、RDP ポートを外部に転送するという最も単純な方法を採用しました。 アクセスするには、会計士は RDP を実行し、ホスト名 (ポートを含む)、ユーザー名、パスワードを入力する必要があります。
この記事では、私の経験(肯定的なものもそうでないものも)と推奨事項を共有します。
リスク
RDP ポートを開くことで何が危険にさらされますか?
1) 機密データへの不正アクセス
誰かが RDP パスワードを推測すると、アカウントのステータス、残高、顧客データなど、非公開にしておきたいデータを取得できるようになります。
2) データ損失
たとえば、ランサムウェア ウイルスの結果として。
または攻撃者による意図的なアクション。
3) ワークステーションの紛失
従業員は作業する必要がありますが、システムが危険にさらされているため、再インストール、復元、構成する必要があります。
4) ローカルネットワークの侵害
攻撃者が Windows コンピュータにアクセスした場合、そのコンピュータから外部やインターネットからアクセスできないシステムにアクセスできるようになります。 たとえば、ファイル共有、ネットワーク プリンターなどです。
Windows Server がランサムウェアを捕らえたケースがありました
このランサムウェアは、まず C: ドライブ上のほとんどのファイルを暗号化し、次にネットワーク経由で NAS 上のファイルの暗号化を開始しました。 NAS は Synology であり、スナップショットが構成されていたため、5 分で NAS を復元し、Windows Server を最初から再インストールしました。
所見と推奨事項
私はWindowsサーバーを監視しています 、ログを ElasticSearch に送信します。 Kibana にはいくつかのビジュアライゼーションがあり、カスタム ダッシュボードもセットアップしました。
監視自体は保護しませんが、必要な措置を決定するのに役立ちます。
以下にいくつかの所見を示します。
a) RDP は総当たり攻撃されます。
サーバーの 3389 つでは、RDP を標準ポート 443 ではなく XNUMX にインストールしました。まあ、HTTPS として偽装します。 おそらくポートを標準のものから変更する価値がありますが、あまり効果はありません。 このサーバーからの統計は次のとおりです。
400 週間で、RDP 経由でのログイン試行が約 000 回失敗したことがわかります。
55 個の IP アドレスからのログイン試行があったことがわかります (一部の IP アドレスはすでに私によってブロックされています)。
これは、fail2ban を設定する必要があるという結論を直接示唆していますが、
Windows にはそのようなユーティリティはありません。
Github にはこれを実行していると思われる放棄されたプロジェクトがいくつかありますが、私はそれらをインストールしようとさえしませんでした。
有料の公共料金もありますが、考慮していません。
この目的のためのオープンソース ユーティリティをご存知の場合は、コメントで共有してください。
アップデイト: コメントでは、ポート 443 は悪い選択であり、32000 はより頻繁にスキャンされ、このポートでの RDP の認識には問題がないため、高いポート (443+) を選択する方が良いと示唆されています。
アップデート: コメントは、そのようなユーティリティが存在することを示唆しています。
b) 攻撃者が好む特定のユーザー名が存在する
異なる名前の辞書で検索が実行されていることがわかります。
しかし、ここで私が気づいたのは、かなりの数の試行がサーバー名をログインとして使用しているということです。 推奨事項: コンピューターとユーザーに同じ名前を使用しないでください。 さらに、何らかの方法でサーバー名を解析しようとしているように見える場合もあります。たとえば、DESKTOP-DFTHD7C という名前のシステムの場合、最も多くのログイン試行は DFTHD7C という名前で行われます。
したがって、DESKTOP-MARIA コンピュータをお持ちの場合は、おそらく MARIA ユーザーとしてログインしようとすることになるでしょう。
ログから気づいたもう XNUMX つの点は、ほとんどのシステムでは、ほとんどのログイン試行が「管理者」という名前で行われているということです。 これには理由がないわけではありません。Windows の多くのバージョンにこのユーザーが存在するからです。 また、削除することもできません。 これにより、攻撃者にとってのタスクが簡略化されます。名前とパスワードを推測する代わりに、パスワードを推測するだけで済みます。
ちなみに、ランサムウェアを捕らえたシステムのユーザーは Administrator、パスワードは Murmansk#9 でした。 私はその事件の直後に監視を開始したため、そのシステムがどのようにハッキングされたのかはまだわかりませんが、おそらくやりすぎだと思います。
では、管理者ユーザーを削除できない場合はどうすればよいでしょうか? 名前を変更できます!
この段落からの推奨事項:
- コンピュータ名にユーザー名を使用しないでください
- システムに管理者ユーザーが存在しないことを確認してください
- 強力なパスワードを使用する
そこで、私はここ数年、自分の管理下にあるいくつかの Windows Server がブルートフォース攻撃を受けているのを観察してきましたが、成功しませんでした。
失敗したことをどうやって知ることができますか?
上記のスクリーンショットには、成功した RDP 呼び出しのログがあり、次の情報が含まれていることがわかります。
- どのIPから
- どのコンピュータから (ホスト名)
- имяпользователя
- 地理的IP情報
そして定期的にチェックしていますが、異常は見つかりませんでした。
ちなみに、特定の IP が特に激しいブルート フォース攻撃を受けている場合は、PowerShell で次のように個々の IP (またはサブネット) をブロックできます。
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockちなみに、Elastic には Winlogbeat 以外にも、 、システム上のファイルとプロセスを監視できます。 Kibana には SIEM (セキュリティ情報およびイベント管理) アプリケーションもあります。 両方試しましたが、あまりメリットはありませんでした。Linux システムでは Auditbeat の方が便利なようですが、SIEM はまだわかりやすいものを示していません。
さて、最終的な推奨事項:
- 定期的に自動バックアップを作成します。
- セキュリティ更新プログラムを適時にインストールする
ボーナス: RDP ログイン試行に最も頻繁に使用された 50 人のユーザーのリスト
「ユーザー名: 降順」
ワンランク上の
dfthd7c (ホスト名)
842941
winsrv1 (ホスト名)
266525
ADMINISTRATOR
180678
管理者
163842
管理者
53541
マイケル
23101
21983
スティーブ
21936
ジョン
21927
ポール
21913
レセプション
21909
マイク
21899
オフィス
21888
スキャナー
21887
スキャン
21867
デイビッド
21865
クリス
21860
所有者
21855
マネージャー
21852
administrateur
21841
ブライアン
21839
管理者
21837
マーク
21824
スタッフ
21806
管理人
12748
ROOT
7772
管理者
7325
サポート
5577
サポート
5418
USER
4558
管理人
2832
テスト
1928
のMySQL
1664
1652
GUEST
1322
ユーザー1
1179
スキャナー
1121
スキャン
1032
管理者
842
管理者1
525
BACKUP
518
MySqlAdmin
518
受信
490
ユーザー2
466
TEMP
452
SQLADMIN
450
ユーザー3
441
1
422
MANAGER
418
OWNER
410
出所: habr.com