საშიშია თუ არა RDP ღიად შენახვა ინტერნეტში?

ხშირად წამიკითხავს მოსაზრება, რომ RDP (Remote Desktop Protocol) პორტის ინტერნეტში გახსნა ძალიან სახიფათოა და არ უნდა გაკეთდეს. მაგრამ თქვენ უნდა მისცეთ წვდომა RDP-ზე ან VPN-ის საშუალებით, ან მხოლოდ გარკვეული „თეთრი“ IP მისამართებიდან.

მე ვმართავ რამდენიმე Windows სერვერს მცირე ფირმებისთვის, სადაც მე მქონდა დავალებული ბუღალტერებისთვის Windows Server-ზე დისტანციური წვდომის უზრუნველყოფა. ეს არის თანამედროვე ტენდენცია - სახლიდან მუშაობა. საკმაოდ სწრაფად მივხვდი, რომ VPN ბუღალტერების ტანჯვა მადლიერი ამოცანაა და თეთრი სიისთვის ყველა IP-ის შეგროვება არ იმუშავებს, რადგან ხალხის IP მისამართები დინამიურია.

ამიტომ, მე ავიღე უმარტივესი მარშრუტი - RDP პორტი გარედან გადავიტანე. წვდომის მისაღებად, ბუღალტერებს ახლა უნდა გაუშვან RDP და შეიყვანოთ ჰოსტის სახელი (პორტის ჩათვლით), მომხმარებლის სახელი და პაროლი.

ამ სტატიაში მე გაგიზიარებთ ჩემს გამოცდილებას (დადებითი და არც თუ ისე პოზიტიური) და რეკომენდაციებს.

რისკები

რას რისკავთ RDP პორტის გახსნით?

1) სენსიტიურ მონაცემებზე არასანქცირებული წვდომა
თუ ვინმე გამოიცნობს RDP პაროლს, მათ შეეძლებათ მიიღონ მონაცემები, რომლებიც გსურთ კონფიდენციალურად შეინახოთ: ანგარიშის სტატუსი, ნაშთები, მომხმარებლის მონაცემები, ...

2) მონაცემთა დაკარგვა
მაგალითად, გამოსასყიდი პროგრამის ვირუსის შედეგად.
ან თავდამსხმელის განზრახ ქმედება.

3) სამუშაო ადგილის დაკარგვა
მუშებმა უნდა იმუშაონ, მაგრამ სისტემა დაზიანებულია და საჭიროა ხელახლა ინსტალაცია/აღდგენა/კონფიგურაცია.

4) ლოკალური ქსელის კომპრომისი
თუ თავდამსხმელმა მოიპოვა წვდომა Windows კომპიუტერზე, მაშინ ამ კომპიუტერიდან მას შეეძლება წვდომა გარედან, ინტერნეტიდან მიუწვდომელ სისტემებზე. მაგალითად, ფაილების გაზიარებისთვის, ქსელის პრინტერებისთვის და ა.შ.

მე მქონდა შემთხვევა, როდესაც Windows Server-მა დაიჭირა გამოსასყიდი პროგრამა

და ამ გამოსასყიდმა პროგრამამ ჯერ დაშიფრა ფაილების უმეტესი ნაწილი C: დისკზე და შემდეგ დაიწყო ფაილების NAS-ზე დაშიფვრა ქსელში. ვინაიდან NAS იყო Synology, სნეპშოტების კონფიგურაციით, მე აღვადგინე NAS 5 წუთში და თავიდან დავაინსტალირე Windows Server.

დაკვირვებები და რეკომენდაციები

მე ვაკვირდები Windows სერვერების გამოყენებით ვინლოგბიტი, რომელიც აგზავნის ჟურნალებს ElasticSearch-ში. კიბანას აქვს რამდენიმე ვიზუალიზაცია და მე ასევე დავაყენე პერსონალური დაფა.
მონიტორინგი თავისთავად არ იცავს, მაგრამ ის ეხმარება განსაზღვროს აუცილებელი ზომები.

აქ არის რამდენიმე დაკვირვება:
ა) RDP იქნება უხეში იძულებითი.
ერთ-ერთ სერვერზე, მე დავაინსტალირე RDP არა სტანდარტულ პორტზე 3389, არამედ 443-ზე - კარგად, მე შენიღბვას HTTPS-ად. ალბათ ღირს პორტის შეცვლა სტანდარტულიდან, მაგრამ ეს დიდად არ გამოდგება. აქ არის სტატისტიკა ამ სერვერიდან:

ჩანს, რომ ერთ კვირაში იყო თითქმის 400 წარუმატებელი მცდელობა RDP-ით შესვლისას.
ჩანს, რომ იყო 55 IP მისამართიდან შესვლის მცდელობები (ზოგიერთი IP მისამართი უკვე დაბლოკილი იყო ჩემს მიერ).

ეს პირდაპირ მიუთითებს დასკვნაზე, რომ თქვენ უნდა დააყენოთ fail2ban, მაგრამ

Windows-ისთვის ასეთი პროგრამა არ არსებობს.

Github-ზე არის რამდენიმე მიტოვებული პროექტი, რომლებიც, როგორც ჩანს, ამას აკეთებენ, მაგრამ მე არც კი მიცდია მათი დაყენება:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

ასევე არის ფასიანი კომუნალური საშუალებები, მაგრამ მე არ განვიხილე ისინი.

თუ იცით ღია კოდის პროგრამა ამ მიზნით, გთხოვთ გააზიაროთ იგი კომენტარებში.

განახლება: კომენტარები ვარაუდობდა, რომ პორტი 443 ცუდი არჩევანია და უმჯობესია აირჩიოთ მაღალი პორტები (32000+), რადგან 443 უფრო ხშირად სკანირდება და ამ პორტზე RDP-ის ამოცნობა პრობლემას არ წარმოადგენს.

ბ) არის გარკვეული მომხმარებლის სახელები, რომლებსაც თავდამსხმელები ურჩევნიათ
ჩანს, რომ ძიება სხვადასხვა სახელწოდების ლექსიკონში მიმდინარეობს.
მაგრამ აი, რა შევნიშნე: მცდელობების მნიშვნელოვანი რაოდენობა იყენებს სერვერის სახელს, როგორც შესვლას. რეკომენდაცია: არ გამოიყენოთ იგივე სახელი კომპიუტერისთვის და მომხმარებლისთვის. უფრო მეტიც, ზოგჯერ ჩანს, რომ ისინი ცდილობენ სერვერის სახელის გაანალიზებას: მაგალითად, სისტემისთვის სახელწოდებით DESKTOP-DFTHD7C, სისტემაში შესვლის ყველაზე მეტი მცდელობა არის სახელით DFTHD7C:

შესაბამისად, თუ თქვენ გაქვთ DESKTOP-MARIA კომპიუტერი, თქვენ ალბათ შეეცდებით შეხვიდეთ როგორც MARIA მომხმარებელი.

კიდევ ერთი რამ, რაც მე შევნიშნე ჟურნალებიდან: უმეტეს სისტემებზე, შესვლის მცდელობების უმეტესობა სახელწოდებით "ადმინისტრატორი". და ეს არ არის უმიზეზოდ, რადგან Windows-ის ბევრ ვერსიაში ეს მომხმარებელი არსებობს. უფრო მეტიც, მისი წაშლა შეუძლებელია. ეს ამარტივებს თავდამსხმელებს დავალებას: სახელისა და პაროლის გამოცნობის ნაცვლად, საჭიროა მხოლოდ პაროლის გამოცნობა.
სხვათა შორის, სისტემას, რომელმაც დაიჭირა გამოსასყიდი პროგრამა, ჰქონდა მომხმარებლის ადმინისტრატორი და პაროლი Murmansk#9. ჯერ კიდევ არ ვარ დარწმუნებული, როგორ გატეხეს ეს სისტემა, რადგან მე დავიწყე მონიტორინგი სწორედ ამ ინციდენტის შემდეგ, მაგრამ ვფიქრობ, რომ გადაჭარბება სავარაუდოა.
ასე რომ, თუ ადმინისტრატორის მომხმარებლის წაშლა შეუძლებელია, მაშინ რა უნდა გააკეთოთ? შეგიძლიათ გადარქმევა!

რეკომენდაციები ამ პუნქტიდან:

• არ გამოიყენოთ მომხმარებლის სახელი კომპიუტერის სახელში
• დარწმუნდით, რომ სისტემაში არ არის ადმინისტრატორის მომხმარებელი
• გამოიყენეთ ძლიერი პაროლები

ასე რომ, მე ვუყურებ ჩემს კონტროლის ქვეშ მყოფ რამდენიმე Windows სერვერს, რომლებიც უხეში იძულებით მოქმედებენ უკვე რამდენიმე წელია და უშედეგოდ.

როგორ გავიგო, რომ ეს წარუმატებელია?
რადგან ზემოთ მოცემულ ეკრანის სურათებში ხედავთ, რომ არის წარმატებული RDP ზარების ჟურნალი, რომელიც შეიცავს ინფორმაციას:

• საიდანაც IP
• რომელი კომპიუტერიდან (ჰოსტის სახელი)
• მომხმარებლის სახელი
• GeoIP ინფორმაცია

და იქ რეგულარულად ვამოწმებ - არანაირი ანომალია არ არის ნაპოვნი.

სხვათა შორის, თუ კონკრეტული IP უხეში იძულებით ხდება განსაკუთრებით რთული, მაშინ შეგიძლიათ დაბლოკოთ ცალკეული IP-ები (ან ქვექსელები), როგორიცაა PowerShell-ში:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

სხვათა შორის, ელასტიკს, Winlogbeat-ის გარდა, აქვს აუდიტის დარტყმა, რომელსაც შეუძლია სისტემაში არსებული ფაილების და პროცესების მონიტორინგი. ასევე არის SIEM (უსაფრთხოების ინფორმაციისა და ღონისძიებების მენეჯმენტი) აპლიკაცია კიბანაში. ორივე ვცადე, მაგრამ დიდი სარგებელი ვერ ვნახე - როგორც ჩანს, Auditbeat უფრო სასარგებლო იქნება Linux სისტემებისთვის და SIEM-მა ჯერ არაფერი მაჩვენა გასაგებად.

ისე, საბოლოო რეკომენდაციები:

• გააკეთეთ რეგულარული ავტომატური სარეზერვო ასლები.
• დააინსტალირეთ უსაფრთხოების განახლებები დროულად

ბონუსი: 50 მომხმარებლის სია, რომლებსაც ყველაზე ხშირად იყენებდნენ RDP შესვლის მცდელობებისთვის

"user.name: დაღმავალი"
იმედი

dfthd7c (ჰოსტის სახელი)
842941

winsrv1 (ჰოსტის სახელი)
266525

ADMINISTRATOR
180678

ადმინისტრატორი
163842

Administrator
53541

მაიკლ
23101

სერვერზე
21983

steve
21936

ჯონ
21927

პოლ
21913

მიღება
21909

mike
21899

ოფისი
21888

სკანერი
21887

სკანირება
21867

david
21865

კრის
21860

მფლობელი
21855

მენეჯერი
21852

administrateur
21841

brian
21839

ადმინისტრატორი
21837

აღსანიშნავად
21824

პერსონალი
21806

ADMIN
12748

ROOT
7772

ადმინისტრატორი
7325

მხარდაჭერა
5577

მხარდაჭერა
5418

მომხმარებელი
4558

admin
2832

TEST
1928

MySql
1664

admin
1652

სტუმარი
1322

მომხმარებელი 1
1179

სკანერი
1121

SCAN
1032

ადმინისტრატორი
842

ადმინ 1
525

სარეზერვო
518

MySqlAdmin
518

მიღება
490

მომხმარებელი 2
466

ტემპი
452

SQLADMIN
450

მომხმარებელი 3
441

1
422

MANAGER
418

მფლობელი
410

წყარო: www.habr.com