ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Apa mbebayani yen RDP tetep mbukak ing internet?

Apa mbebayani yen RDP tetep mbukak ing internet?

Aku wis kerep maca pendapat sing tetep RDP (Remote Desktop Protocol) port mbukak kanggo Internet banget aman lan ngirim ora rampung. Nanging sampeyan kudu menehi akses menyang RDP liwat VPN, utawa mung saka alamat IP "putih" tartamtu.

Aku ngatur sawetara Windows Server kanggo perusahaan cilik sing wis ditugasi nyedhiyakake akses remot menyang Windows Server kanggo akuntan. Iki minangka tren modern - kerja saka omah. Cepet banget, aku nyadari yen nyiksa akuntan VPN minangka tugas sing ora duwe panuwun, lan ngumpulake kabeh IP kanggo dhaptar putih ora bakal bisa, amarga alamat IP wong dinamis.

Mulane, aku njupuk rute sing paling gampang - nerusake port RDP menyang njaba. Kanggo entuk akses, akuntan saiki kudu mbukak RDP lan ketik jeneng host (kalebu port), jeneng pangguna lan sandhi.

Ing artikel iki aku bakal nuduhake pengalaman (positif lan ora dadi positif) lan Rekomendasi.

Risiko

Apa risiko sampeyan mbukak port RDP?

1) Akses ora sah menyang data sensitif
Yen ana sing ngira tembung sandhi RDP, dheweke bakal bisa entuk data sing pengin dirahasiakake: status akun, saldo, data pelanggan, ...

2) mundhut data
Contone, minangka akibat saka virus ransomware.
Utawa tumindak sing disengaja dening penyerang.

3) Mundhut workstation
Buruh kudu bisa, nanging sistem wis kompromi lan kudu diinstal maneh / dibalèkaké / diatur.

4) Kompromi jaringan lokal
Yen panyerang wis entuk akses menyang komputer Windows, mula saka komputer iki dheweke bakal bisa ngakses sistem sing ora bisa diakses saka njaba, saka Internet. Contone, kanggo ngajukake saham, menyang printer jaringan, lsp.

Aku duwe kasus nalika Windows Server nyekel ransomware

lan ransomware iki pisanan ndhelik sebagian besar file ing drive C: lan banjur miwiti enkripsi file ing NAS liwat jaringan. Wiwit NAS ana Synology, karo jepretan diatur, Aku dibalèkaké NAS ing 5 menit, lan reinstalled Windows Server saka ngeruk.

Observasi lan Rekomendasi

Aku ngawasi Windows Servers nggunakake Winlogbeat, sing ngirim log menyang ElasticSearch. Kibana duwe sawetara visualisasi, lan aku uga nyiyapake dashboard khusus.
Ngawasi dhewe ora nglindhungi, nanging mbantu nemtokake langkah-langkah sing dibutuhake.

Ing ngisor iki sawetara pengamatan:
a) RDP bakal brute forced.
Ing salah sawijining server, aku nginstal RDP ora ing port standar 3389, nanging ing 443 - uga, aku bakal nyamar dadi HTTPS. Iku mbokmenawa worth ngganti port saka standar, nanging ora bakal nindakake akeh apik. Mangkene statistik saka server iki:

Apa mbebayani yen RDP tetep mbukak ing internet?

Bisa dideleng yen ing seminggu ana meh 400 upaya sing ora kasil kanggo mlebu liwat RDP.
Bisa dideleng yen ana upaya kanggo mlebu saka 55 alamat IP (sawetara alamat IP wis diblokir dening aku).

Iki langsung nyaranake kesimpulan sing kudu nyetel fail2ban, nanging

Ora ana sarana kasebut kanggo Windows.

Ana sawetara proyek sing ditinggalake ing Github sing kaya ngono, nanging aku durung nyoba nginstal:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Ana uga keperluan mbayar, nanging aku wis ora dianggep.

Yen sampeyan ngerti sarana open source kanggo tujuan iki, mangga barengake ing komentar.

Nganyari: Komentar disaranake sing port 443 pilihan ala, lan iku luwih apik kanggo milih bandar dhuwur (32000+), amarga 443 mentas liyane asring, lan ngenali RDP ing port iki ora masalah.

b) Ana jeneng panganggo tartamtu sing disenengi panyerang
Bisa ditemokake yen panelusuran ditindakake ing kamus kanthi jeneng sing beda-beda.
Nanging ing kene aku weruh: akeh usaha sing nggunakake jeneng server minangka login. Rekomendasi: Aja nggunakake jeneng sing padha kanggo komputer lan pangguna. Kajaba iku, kadhangkala katon kaya nyoba ngurai jeneng server piye wae: contone, kanggo sistem kanthi jeneng DESKTOP-DFTHD7C, sing paling akeh nyoba mlebu yaiku jeneng DFTHD7C:

Apa mbebayani yen RDP tetep mbukak ing internet?

Dadi, yen sampeyan duwe komputer DESKTOP-MARIA, sampeyan bakal nyoba mlebu minangka pangguna MARIA.

Liyane bab aku weruh saka log: ing paling sistem, paling nyoba kanggo log in karo jeneng "administrator". Lan iki ora tanpa alesan, amarga ing pirang-pirang versi Windows, pangguna iki ana. Kajaba iku, ora bisa dibusak. Iki nyederhanakake tugas kanggo panyerang: tinimbang ngira jeneng lan sandhi, sampeyan mung kudu ngira sandhi.
Miturut cara, sistem sing nyekel ransomware duwe Administrator pangguna lan sandhi Murmansk # 9. Aku isih ora yakin carane sistem iki disusupi, amarga aku miwiti ngawasi mung sawise kedadean sing, nanging aku sing overkill kamungkinan.
Dadi yen pangguna Administrator ora bisa dibusak, banjur apa sing kudu dilakoni? Sampeyan bisa ngganti jeneng!

Rekomendasi saka paragraf iki:

  • aja nganggo jeneng panganggo ing jeneng komputer
  • priksa manawa ora ana pangguna Administrator ing sistem kasebut
  • nggunakake sandhi sing kuwat

Dadi, aku wis nonton sawetara Server Windows ing kontrolku sing dipeksa nganti pirang-pirang taun saiki, lan ora sukses.

Kepiye carane aku ngerti yen ora kasil?
Amarga ing gambar ing ndhuwur sampeyan bisa ndeleng manawa ana log panggilan RDP sing sukses, sing ngemot informasi kasebut:

  • saka IP kang
  • saka komputer (hostname)
  • Jeneng pangguna
  • Informasi GeoIP

Lan aku mriksa kanthi rutin - ora ana anomali sing ditemokake.

Contone, yen IP tartamtu dipeksa banget, mula sampeyan bisa mblokir IP individu (utawa subnet) kaya iki ing PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Miturut cara, Elastis, saliyane Winlogbeat, uga duwe Auditbeat, sing bisa ngawasi file lan proses ing sistem. Ana uga aplikasi SIEM (Informasi Keamanan & Manajemen Acara) ing Kibana. Aku nyoba loro-lorone, nanging ora entuk manfaat akeh - kayane Auditbeat bakal luwih migunani kanggo sistem Linux, lan SIEM durung nuduhake apa-apa sing bisa dingerteni.

Inggih, rekomendasi pungkasan:

  • Nggawe serep otomatis biasa.
  • nginstal Update Keamanan ing wektu sing tepat

Bonus: dhaptar 50 pangguna sing paling kerep digunakake kanggo nyoba mlebu RDP

"user.name: Turun"
Count

dfthd7c (jeneng host)
842941

winsrv1 (jeneng host)
266525

ADMINISTRATOR
180678

administrator
163842

Administrator
53541

Michael
23101

server
21983

steve
21936

john
21927

paul
21913

reception
21909

mike
21899

kantor
21888

scanner
21887

scan
21867

david
21865

chris
21860

pemilik
21855

manager
21852

administrator
21841

brian
21839

administrator
21837

tandha
21824

Staff
21806

ADMIN
12748

ROOT
7772

ADMINISTRATOR
7325

SUPPORT
5577

SUPPORT
5418

PENGGUNA
4558

admin
2832

TEST
1928

MySql
1664

admin
1652

TUNGGAL
1322

PENGGUNA1
1179

kanggo SCAN
1121

WANATA
1032

ADMINISTRATOR
842

ADMIN 1
525

BACKUP
518

MySqlAdmin
518

RESEP
490

PENGGUNA2
466

TEMP
452

SQLADMIN
450

PENGGUNA3
441

1
422

MANAJER
418

Owner
410

Source: www.habr.com

Add a comment