Aku wis kerep maca pendapat sing tetep RDP (Remote Desktop Protocol) port mbukak kanggo Internet banget aman lan ngirim ora rampung. Nanging sampeyan kudu menehi akses menyang RDP liwat VPN, utawa mung saka alamat IP "putih" tartamtu.
Aku ngatur sawetara Windows Server kanggo perusahaan cilik sing wis ditugasi nyedhiyakake akses remot menyang Windows Server kanggo akuntan. Iki minangka tren modern - kerja saka omah. Cepet banget, aku nyadari yen nyiksa akuntan VPN minangka tugas sing ora duwe panuwun, lan ngumpulake kabeh IP kanggo dhaptar putih ora bakal bisa, amarga alamat IP wong dinamis.
Mulane, aku njupuk rute sing paling gampang - nerusake port RDP menyang njaba. Kanggo entuk akses, akuntan saiki kudu mbukak RDP lan ketik jeneng host (kalebu port), jeneng pangguna lan sandhi.
Ing artikel iki aku bakal nuduhake pengalaman (positif lan ora dadi positif) lan Rekomendasi.
Risiko
Apa risiko sampeyan mbukak port RDP?
1) Akses ora sah menyang data sensitif
Yen ana sing ngira tembung sandhi RDP, dheweke bakal bisa entuk data sing pengin dirahasiakake: status akun, saldo, data pelanggan, ...
2) mundhut data
Contone, minangka akibat saka virus ransomware.
Utawa tumindak sing disengaja dening penyerang.
3) Mundhut workstation
Buruh kudu bisa, nanging sistem wis kompromi lan kudu diinstal maneh / dibalèkaké / diatur.
4) Kompromi jaringan lokal
Yen panyerang wis entuk akses menyang komputer Windows, mula saka komputer iki dheweke bakal bisa ngakses sistem sing ora bisa diakses saka njaba, saka Internet. Contone, kanggo ngajukake saham, menyang printer jaringan, lsp.
Aku duwe kasus nalika Windows Server nyekel ransomware
lan ransomware iki pisanan ndhelik sebagian besar file ing drive C: lan banjur miwiti enkripsi file ing NAS liwat jaringan. Wiwit NAS ana Synology, karo jepretan diatur, Aku dibalèkaké NAS ing 5 menit, lan reinstalled Windows Server saka ngeruk.
Observasi lan Rekomendasi
Aku ngawasi Windows Servers nggunakake
Ngawasi dhewe ora nglindhungi, nanging mbantu nemtokake langkah-langkah sing dibutuhake.
Ing ngisor iki sawetara pengamatan:
a) RDP bakal brute forced.
Ing salah sawijining server, aku nginstal RDP ora ing port standar 3389, nanging ing 443 - uga, aku bakal nyamar dadi HTTPS. Iku mbokmenawa worth ngganti port saka standar, nanging ora bakal nindakake akeh apik. Mangkene statistik saka server iki:
Bisa dideleng yen ing seminggu ana meh 400 upaya sing ora kasil kanggo mlebu liwat RDP.
Bisa dideleng yen ana upaya kanggo mlebu saka 55 alamat IP (sawetara alamat IP wis diblokir dening aku).
Iki langsung nyaranake kesimpulan sing kudu nyetel fail2ban, nanging
Ora ana sarana kasebut kanggo Windows.
Ana sawetara proyek sing ditinggalake ing Github sing kaya ngono, nanging aku durung nyoba nginstal:
Ana uga keperluan mbayar, nanging aku wis ora dianggep.
Yen sampeyan ngerti sarana open source kanggo tujuan iki, mangga barengake ing komentar.
Nganyari: Komentar disaranake sing port 443 pilihan ala, lan iku luwih apik kanggo milih bandar dhuwur (32000+), amarga 443 mentas liyane asring, lan ngenali RDP ing port iki ora masalah.
b) Ana jeneng panganggo tartamtu sing disenengi panyerang
Bisa ditemokake yen panelusuran ditindakake ing kamus kanthi jeneng sing beda-beda.
Nanging ing kene aku weruh: akeh usaha sing nggunakake jeneng server minangka login. Rekomendasi: Aja nggunakake jeneng sing padha kanggo komputer lan pangguna. Kajaba iku, kadhangkala katon kaya nyoba ngurai jeneng server piye wae: contone, kanggo sistem kanthi jeneng DESKTOP-DFTHD7C, sing paling akeh nyoba mlebu yaiku jeneng DFTHD7C:
Dadi, yen sampeyan duwe komputer DESKTOP-MARIA, sampeyan bakal nyoba mlebu minangka pangguna MARIA.
Liyane bab aku weruh saka log: ing paling sistem, paling nyoba kanggo log in karo jeneng "administrator". Lan iki ora tanpa alesan, amarga ing pirang-pirang versi Windows, pangguna iki ana. Kajaba iku, ora bisa dibusak. Iki nyederhanakake tugas kanggo panyerang: tinimbang ngira jeneng lan sandhi, sampeyan mung kudu ngira sandhi.
Miturut cara, sistem sing nyekel ransomware duwe Administrator pangguna lan sandhi Murmansk # 9. Aku isih ora yakin carane sistem iki disusupi, amarga aku miwiti ngawasi mung sawise kedadean sing, nanging aku sing overkill kamungkinan.
Dadi yen pangguna Administrator ora bisa dibusak, banjur apa sing kudu dilakoni? Sampeyan bisa ngganti jeneng!
Rekomendasi saka paragraf iki:
- aja nganggo jeneng panganggo ing jeneng komputer
- priksa manawa ora ana pangguna Administrator ing sistem kasebut
- nggunakake sandhi sing kuwat
Dadi, aku wis nonton sawetara Server Windows ing kontrolku sing dipeksa nganti pirang-pirang taun saiki, lan ora sukses.
Kepiye carane aku ngerti yen ora kasil?
Amarga ing gambar ing ndhuwur sampeyan bisa ndeleng manawa ana log panggilan RDP sing sukses, sing ngemot informasi kasebut:
- saka IP kang
- saka komputer (hostname)
- Jeneng pangguna
- Informasi GeoIP
Lan aku mriksa kanthi rutin - ora ana anomali sing ditemokake.
Contone, yen IP tartamtu dipeksa banget, mula sampeyan bisa mblokir IP individu (utawa subnet) kaya iki ing PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
Miturut cara, Elastis, saliyane Winlogbeat, uga duwe
Inggih, rekomendasi pungkasan:
- Nggawe serep otomatis biasa.
- nginstal Update Keamanan ing wektu sing tepat
Bonus: dhaptar 50 pangguna sing paling kerep digunakake kanggo nyoba mlebu RDP
"user.name: Turun"
Count
dfthd7c (jeneng host)
842941
winsrv1 (jeneng host)
266525
ADMINISTRATOR
180678
administrator
163842
Administrator
53541
Michael
23101
server
21983
steve
21936
john
21927
paul
21913
reception
21909
mike
21899
kantor
21888
scanner
21887
scan
21867
david
21865
chris
21860
pemilik
21855
manager
21852
administrator
21841
brian
21839
administrator
21837
tandha
21824
Staff
21806
ADMIN
12748
ROOT
7772
ADMINISTRATOR
7325
SUPPORT
5577
SUPPORT
5418
PENGGUNA
4558
admin
2832
TEST
1928
MySql
1664
admin
1652
TUNGGAL
1322
PENGGUNA1
1179
kanggo SCAN
1121
WANATA
1032
ADMINISTRATOR
842
ADMIN 1
525
BACKUP
518
MySqlAdmin
518
RESEP
490
PENGGUNA2
466
TEMP
452
SQLADMIN
450
PENGGUNA3
441
1
422
MANAJER
418
Owner
410
Source: www.habr.com