Мен RDP (Remote Desktop Protocol) портын Интернетке ашық ұстау өте қауіпті және оны істеуге болмайды деген пікірді жиі оқыдым. Бірақ сіз RDP-ге VPN арқылы немесе белгілі бір «ақ» IP мекенжайларынан ғана рұқсат беруіңіз керек.
Мен бухгалтерлер үшін Windows серверіне қашықтан қол жеткізуді қамтамасыз ету тапсырылған шағын фирмалар үшін бірнеше Windows серверлерін басқарамын. Бұл заманауи тренд – үйде отырып жұмыс жасау. Мен VPN есепшілерін азаптау - рақметсіз жұмыс екенін және ақ тізімге барлық IP мекенжайларын жинау жұмыс істемейтінін тез түсіндім, өйткені адамдардың IP мекенжайлары динамикалық.
Сондықтан мен ең қарапайым жолды таңдадым - RDP портын сыртқа жібердім. Қол жеткізу үшін бухгалтерлер енді RDP іске қосып, хост атын (портты қоса), пайдаланушы аты мен құпия сөзді енгізуі керек.
Бұл мақалада мен өз тәжірибеммен (оң және позитивті емес) және ұсыныстармен бөлісемін.
Тәуекелдер
RDP портын ашу арқылы сіз не тәуекел етесіз?
1) құпия деректерге рұқсатсыз кіру
Егер біреу RDP құпия сөзін тапса, олар сіз құпия сақтағыңыз келетін деректерді ала алады: шот күйі, баланстар, тұтынушы деректері, ...
2) Деректер жоғалуы
Мысалы, ransomware вирусының нәтижесінде.
Немесе шабуылдаушының қасақана әрекеті.
3) Жұмыс станциясының жоғалуы
Жұмысшылар жұмыс істеуі керек, бірақ жүйе бұзылған және оны қайта орнату/қалпына келтіру/конфигурациялау қажет.
4) Жергілікті желінің компромиссі
Егер шабуылдаушы Windows компьютеріне қол жеткізген болса, онда бұл компьютерден ол сырттан, Интернеттен қол жетімді емес жүйелерге қол жеткізе алады. Мысалы, ортақ файлдарға, желілік принтерлерге және т.б.
Менде Windows Server төлем бағдарламалық құралын ұстаған жағдай болды
және бұл төлемдік бағдарлама алдымен C: дискісіндегі файлдардың көпшілігін шифрлады, содан кейін желі арқылы NAS файлдарын шифрлай бастады. NAS Synology болғандықтан, суреттер конфигурацияланған, мен NAS жүйесін 5 минут ішінде қалпына келтірдім және Windows серверін нөлден қайта орнаттым.
Бақылаулар мен ұсыныстар
Мен Windows серверлерін пайдаланып бақылаймын , ол журналдарды ElasticSearch қызметіне жібереді. Кибананың бірнеше визуализациясы бар, мен де реттелетін бақылау тақтасын орнаттым.
Бақылаудың өзі қорғамайды, бірақ қажетті шараларды анықтауға көмектеседі.
Міне, кейбір ескертулер:
a) RDP дөрекі түрде мәжбүр болады.
Серверлердің бірінде мен RDP стандартты 3389 портына емес, 443-ке орнаттым - мен өзімді HTTPS ретінде жасырамын. Портты стандартты порттан өзгерту керек шығар, бірақ ол жақсы нәтиже бермейді. Міне, осы сервердің статистикасы:
Бір аптада RDP арқылы кіруге 400 000-ға жуық сәтсіз әрекет жасалғанын көруге болады.
55 001 IP мекенжайынан кіру әрекеттері болғанын көруге болады (кейбір IP мекенжайларын мен бұғаттап қойғанмын).
Бұл fail2ban орнату керек деген қорытындыны тікелей ұсынады, бірақ
Windows үшін мұндай утилита жоқ.
Github-та мұны істейтін сияқты бірнеше тасталған жобалар бар, бірақ мен оларды орнатуға тырыспадым:
Ақылы коммуналдық қызметтер де бар, бірақ мен оларды қарастырған жоқпын.
Егер сіз осы мақсатқа арналған ашық бастапқы қызметтік бағдарламаны білсеңіз, оны түсініктемелерде бөлісіңіз.
Жаңарту: Пікірлер 443 портын дұрыс таңдау емес және жоғары порттарды (32000+) таңдаған дұрыс, себебі 443 жиі сканерленеді және бұл портта RDP тану қиындық тудырмайды.
b) Шабуылшылар ұнататын белгілі бір пайдаланушы аттары бар
Іздеу әр түрлі атаулармен сөздікте жүргізілетінін байқауға болады.
Бірақ мен мынаны байқадым: көптеген әрекеттер сервер атауын логин ретінде пайдалануда. Ұсыныс: Компьютер мен пайдаланушы үшін бірдей атауды пайдаланбаңыз. Сонымен қатар, кейде олар сервер атауын қандай да бір жолмен талдауға тырысатын сияқты көрінеді: мысалы, DESKTOP-DFTHD7C атауы бар жүйе үшін DFTHD7C атауымен кіру әрекеттерінің көбісі:
Сәйкесінше, сізде DESKTOP-MARIA компьютері болса, сіз MARIA пайдаланушысы ретінде кіруге әрекеттенетін шығарсыз.
Журналдардан тағы бір байқағаным: көптеген жүйелерде кіру әрекеттерінің көпшілігі «әкімші» атымен. Бұл себепсіз емес, өйткені Windows-тың көптеген нұсқаларында бұл пайдаланушы бар. Оның үстіне, оны жою мүмкін емес. Бұл шабуылдаушыларға тапсырманы жеңілдетеді: атау мен құпия сөзді болжаудың орнына, құпия сөзді болжау керек.
Айтпақшы, төлемдік бағдарламаны ұстаған жүйеде әкімші пайдаланушысы және Мурманск#9 паролі болды. Мен бұл жүйенің қалай бұзылғанын әлі білмеймін, өйткені мен осы оқиғадан кейін бақылауды бастадым, бірақ менің ойымша, бұл шектен шығуы мүмкін.
Әкімші пайдаланушысын жою мүмкін болмаса, не істеу керек? Оның атын өзгертуге болады!
Осы тармақтағы ұсыныстар:
- компьютер атауында пайдаланушы атын пайдаланбаңыз
- жүйеде Әкімші пайдаланушысы жоқ екеніне көз жеткізіңіз
- күшті құпия сөздерді пайдаланыңыз
Осылайша, мен бірнеше жыл бойы өз бақылауымдағы бірнеше Windows серверлерін дөрекі түрде мәжбүрлеуді және сәтсіздікке ұшырағанын бақылап жүрмін.
Сәтсіз екенін қайдан білемін?
Өйткені жоғарыдағы скриншоттарда сіз ақпаратты қамтитын сәтті RDP қоңырауларының журналдары бар екенін көре аласыз:
- қай IP-ден
- қай компьютерден (хост аты)
- Қолданушының аты
- GeoIP ақпараты
Мен ол жерде үнемі тексеремін - ешқандай ауытқулар табылған жоқ.
Айтпақшы, егер белгілі бір IP қатты күштеп қолданылса, PowerShell бағдарламасында жеке IP мекенжайларын (немесе ішкі желілерді) бұғаттауға болады:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockАйтпақшы, Winlogbeat-тен басқа Elastic-те де бар , ол жүйедегі файлдар мен процестерді бақылай алады. Сондай-ақ Кибанада SIEM (Security Information & Event Management) қолданбасы бар. Мен екеуін де қолданып көрдім, бірақ көп пайда көрмедім - Auditbeat Linux жүйелері үшін пайдалырақ болатын сияқты және SIEM маған әлі түсінікті ештеңе көрсетпеді.
Ал, соңғы ұсыныстар:
- Тұрақты автоматты сақтық көшірмелерді жасаңыз.
- Қауіпсіздік жаңартуларын уақтылы орнатыңыз
Бонус: RDP кіру әрекеттері үшін жиі қолданылатын 50 пайдаланушының тізімі
"user.name: кему"
санау
dfthd7c (хост аты)
842941
winsrv1 (хост аты)
266525
Әкімші
180678
әкімші
163842
Әкімші
53541
Майкл
23101
сервер
21983
Стив
21936
Джон
21927
Paul
21913
қабылдау
21909
Майк
21899
кеңсе
21888
сканер
21887
Сканерлеу
21867
Дэвид
21865
Крис
21860
ие
21855
басқарушы
21852
әкімші
21841
Брайан
21839
әкімші
21837
белгі
21824
қызметкерлер
21806
ADMIN
12748
ROOT
7772
ADMINISTRATOR
7325
ҚОЛДАУ
5577
ҚОЛДАУ
5418
USER
4558
Admin
2832
TEST
1928
mysql
1664
Admin
1652
ҚОНАҚ
1322
1
1179
СКАНЕР
1121
SCAN
1032
ADMINISTRATOR
842
ADMIN1
525
ҚОСАЛҚЫ
518
MySqlAdmin
518
Қабылдау
490
2
466
ТЕМП
452
SQLADMIN
450
3
441
1
422
МЕНЕДЖЕР
418
OWNER
410
Ақпарат көзі: www.habr.com