តើវាមានគ្រោះថ្នាក់ក្នុងការរក្សា RDP បើកនៅលើអ៊ីនធឺណិតទេ?

ខ្ញុំបានអានជាញឹកញយថា ការរក្សាច្រក RDP (Remote Desktop Protocol) បើកអ៊ីនធឺណេតគឺមិនមានសុវត្ថិភាព និងមិនគួរធ្វើនោះទេ។ ប៉ុន្តែអ្នកត្រូវផ្តល់សិទ្ធិចូលប្រើ RDP តាមរយៈ VPN ឬតែពីអាសយដ្ឋាន IP "ស" ជាក់លាក់ប៉ុណ្ណោះ។

ខ្ញុំគ្រប់គ្រង Windows Servers ជាច្រើនសម្រាប់ក្រុមហ៊ុនតូចៗ ដែលខ្ញុំបានទទួលភារកិច្ចក្នុងការផ្តល់ការចូលប្រើពីចម្ងាយទៅកាន់ Windows Server សម្រាប់គណនេយ្យករ។ នេះគឺជានិន្នាការទំនើប - ធ្វើការពីផ្ទះ។ លឿនណាស់ ខ្ញុំបានដឹងថាការធ្វើទារុណកម្មគណនេយ្យករ VPN គឺជាកិច្ចការដែលមិនអាចថ្លែងអំណរគុណ ហើយការប្រមូល IPs ទាំងអស់សម្រាប់បញ្ជីសនឹងមិនដំណើរការទេ ពីព្រោះអាសយដ្ឋាន IP របស់មនុស្សមានភាពស្វាហាប់។

ដូច្នេះខ្ញុំបានយកផ្លូវសាមញ្ញបំផុត - បញ្ជូនច្រក RDP ទៅខាងក្រៅ។ ដើម្បីទទួលបានការចូលប្រើ គណនេយ្យករត្រូវដំណើរការ RDP ហើយបញ្ចូលឈ្មោះម៉ាស៊ីន (រួមទាំងច្រក) ឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់។

នៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងចែករំលែកបទពិសោធន៍របស់ខ្ញុំ (វិជ្ជមាន និងមិនសូវវិជ្ជមាន) និងអនុសាសន៍។

ហានិភ័យ

តើអ្នកប្រថុយអ្វីដោយការបើកច្រក RDP?

1) ការចូលប្រើទិន្នន័យរសើបដោយគ្មានការអនុញ្ញាត
ប្រសិនបើនរណាម្នាក់ទាយពាក្យសម្ងាត់ RDP ពួកគេនឹងអាចទទួលបានទិន្នន័យដែលអ្នកចង់រក្សាឯកជន៖ ស្ថានភាពគណនី សមតុល្យ ទិន្នន័យអតិថិជន ...

2) ការបាត់បង់ទិន្នន័យ
ឧទាហរណ៍ ជាលទ្ធផលនៃមេរោគ ransomware ។
ឬសកម្មភាពដោយចេតនាដោយអ្នកវាយប្រហារ។

3) ការបាត់បង់ស្ថានីយការងារ
កម្មករត្រូវធ្វើការ ប៉ុន្តែប្រព័ន្ធត្រូវបានសម្របសម្រួល ហើយត្រូវដំឡើង/ស្តារ/កំណត់រចនាសម្ព័ន្ធឡើងវិញ។

4) ការសម្របសម្រួលនៃបណ្តាញមូលដ្ឋាន
ប្រសិនបើអ្នកវាយប្រហារបានចូលប្រើកុំព្យូទ័រ Windows បន្ទាប់មកពីកុំព្យូទ័រនេះគាត់នឹងអាចចូលប្រើប្រព័ន្ធដែលមិនអាចចូលបានពីខាងក្រៅពីអ៊ីនធឺណិត។ ឧទាហរណ៍ ដើម្បីដាក់ឯកសារចែករំលែក ទៅម៉ាស៊ីនបោះពុម្ពបណ្តាញ។ល។

ខ្ញុំមានករណីមួយដែល Windows Server ចាប់បាន ransomware

ហើយ ransomware នេះដំបូងបានអ៊ិនគ្រីបឯកសារភាគច្រើននៅលើដ្រាយ C: ហើយបន្ទាប់មកចាប់ផ្តើមអ៊ិនគ្រីបឯកសារនៅលើ NAS លើបណ្តាញ។ ដោយសារ NAS គឺជា Synology ជាមួយនឹងរូបថតដែលបានកំណត់រចនាសម្ព័ន្ធ ខ្ញុំបានស្ដារ NAS ឡើងវិញក្នុងរយៈពេល 5 នាទី ហើយបានដំឡើង Windows Server ឡើងវិញពីដំបូង។

ការសង្កេត និងអនុសាសន៍

ខ្ញុំត្រួតពិនិត្យ Windows Servers ដោយប្រើ Winlogbeatដែលផ្ញើកំណត់ហេតុទៅ ElasticSearch ។ Kibana មានការមើលឃើញជាច្រើន ហើយខ្ញុំក៏រៀបចំផ្ទាំងគ្រប់គ្រងផ្ទាល់ខ្លួនផងដែរ។
ការត្រួតពិនិត្យដោយខ្លួនឯងមិនការពារទេប៉ុន្តែវាជួយកំណត់វិធានការចាំបាច់។

នេះជាការសង្កេតមួយចំនួន៖
ក) RDP នឹងត្រូវបានបង្ខំយ៉ាងសាហាវ។
នៅលើម៉ាស៊ីនមេមួយ ខ្ញុំបានដំឡើង RDP មិនមែននៅលើច្រកស្តង់ដារ 3389 ទេ ប៉ុន្តែនៅលើ 443 ខ្ញុំនឹងក្លែងខ្លួនខ្ញុំជា HTTPS ។ វាប្រហែលជាមានតម្លៃផ្លាស់ប្តូរច្រកពីស្តង់ដារប៉ុន្តែវានឹងមិនដំណើរការល្អច្រើនទេ។ នេះគឺជាស្ថិតិពីម៉ាស៊ីនមេនេះ៖

វាអាចត្រូវបានគេមើលឃើញថាក្នុងមួយសប្តាហ៍មានការប៉ុនប៉ងមិនជោគជ័យជិត 400 ដើម្បីចូលតាមរយៈ RDP ។
វាអាចត្រូវបានគេមើលឃើញថាមានការព្យាយាមចូលពីអាសយដ្ឋាន IP ចំនួន 55 (អាសយដ្ឋាន IP មួយចំនួនត្រូវបានរារាំងដោយខ្ញុំរួចហើយ)។

នេះណែនាំដោយផ្ទាល់នូវការសន្និដ្ឋានថាអ្នកត្រូវកំណត់ fail2ban ប៉ុន្តែ

មិនមានឧបករណ៍ប្រើប្រាស់បែបនេះសម្រាប់វីនដូទេ។

មានគម្រោងមួយចំនួនដែលត្រូវបានបោះបង់ចោលនៅលើ Github ដែលហាក់ដូចជាធ្វើដូចនេះ ប៉ុន្តែខ្ញុំមិនបានព្យាយាមដំឡើងពួកវាទេ៖
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

វាក៏មានឧបករណ៍ប្រើប្រាស់ដែលបានបង់ដែរ ប៉ុន្តែខ្ញុំមិនបានពិចារណាវាទេ។

ប្រសិនបើអ្នកស្គាល់ឧបករណ៍ប្រើប្រាស់ប្រភពបើកចំហសម្រាប់គោលបំណងនេះ សូមចែករំលែកវានៅក្នុងមតិយោបល់។

ធ្វើឱ្យទាន់សម័យ៖ មតិយោបល់បានណែនាំថាច្រក 443 គឺជាជម្រើសមិនល្អ ហើយវាជាការប្រសើរក្នុងការជ្រើសរើសច្រកខ្ពស់ (32000+) ពីព្រោះ 443 ត្រូវបានស្កេនញឹកញាប់ជាងមុន ហើយការទទួលស្គាល់ RDP នៅលើច្រកនេះមិនមែនជាបញ្ហាទេ។

ខ) មានឈ្មោះអ្នកប្រើប្រាស់ជាក់លាក់ដែលអ្នកវាយប្រហារចូលចិត្ត
វាអាចត្រូវបានគេមើលឃើញថាការស្វែងរកត្រូវបានអនុវត្តនៅក្នុងវចនានុក្រមដែលមានឈ្មោះផ្សេងគ្នា។
ប៉ុន្តែនេះជាអ្វីដែលខ្ញុំបានកត់សម្គាល់៖ ការព្យាយាមមួយចំនួនធំកំពុងប្រើឈ្មោះម៉ាស៊ីនមេជាការចូល។ អនុសាសន៍៖ កុំប្រើឈ្មោះដូចគ្នាសម្រាប់កុំព្យូទ័រ និងអ្នកប្រើប្រាស់។ លើសពីនេះទៅទៀត ពេលខ្លះវាហាក់បីដូចជាពួកគេកំពុងព្យាយាមញែកឈ្មោះម៉ាស៊ីនមេតាមរបៀបណាមួយ៖ ឧទាហរណ៍ សម្រាប់ប្រព័ន្ធដែលមានឈ្មោះ DESKTOP-DFTHD7C ការព្យាយាមចូលច្រើនបំផុតគឺមានឈ្មោះ DFTHD7C៖

ដូច្នោះហើយ ប្រសិនបើអ្នកមានកុំព្យូទ័រ DESKTOP-MARIA អ្នកប្រហែលជាកំពុងព្យាយាមចូលជាអ្នកប្រើប្រាស់ MARIA។

រឿងមួយទៀតដែលខ្ញុំបានកត់សម្គាល់ពីកំណត់ហេតុ៖ នៅលើប្រព័ន្ធភាគច្រើន ការព្យាយាមចូលភាគច្រើនគឺមានឈ្មោះ "អ្នកគ្រប់គ្រង"។ ហើយនេះមិនមែនដោយគ្មានហេតុផលទេ ពីព្រោះនៅក្នុងកំណែជាច្រើនរបស់ Windows អ្នកប្រើប្រាស់នេះមាន។ លើសពីនេះទៀតវាមិនអាចលុបបានទេ។ វាជួយសម្រួលដល់កិច្ចការសម្រាប់អ្នកវាយប្រហារ៖ ជំនួសឱ្យការទាយឈ្មោះ និងពាក្យសម្ងាត់ អ្នកគ្រាន់តែត្រូវទាយពាក្យសម្ងាត់ប៉ុណ្ណោះ។
ដោយវិធីនេះ ប្រព័ន្ធដែលចាប់បាន ransomware មានអ្នកប្រើប្រាស់ អ្នកគ្រប់គ្រង និងពាក្យសម្ងាត់ Murmansk #9 ។ ខ្ញុំ​នៅ​មិន​ច្បាស់​ថា​តើ​ប្រព័ន្ធ​នោះ​ត្រូវ​បាន​គេ​លួច​ចូល​ដោយ​របៀប​ណា​ទេ ព្រោះ​ខ្ញុំ​បាន​ចាប់​ផ្តើម​ត្រួត​ពិនិត្យ​បន្ទាប់​ពី​ឧប្បត្តិហេតុ​នោះ ប៉ុន្តែ​ខ្ញុំ​គិត​ថា​ការ​សម្លាប់​នេះ​ទំនង​ជា​លើស​ចំណុះ។
ដូច្នេះប្រសិនបើអ្នកប្រើប្រាស់ Administrator មិនអាចលុបបានទេ តើអ្នកគួរធ្វើដូចម្តេច? អ្នកអាចប្តូរឈ្មោះវាបាន!

អនុសាសន៍ពីកថាខណ្ឌនេះ៖

• កុំប្រើឈ្មោះអ្នកប្រើក្នុងឈ្មោះកុំព្យូទ័រ
• ត្រូវប្រាកដថាមិនមានអ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងនៅលើប្រព័ន្ធ
• ប្រើពាក្យសម្ងាត់ខ្លាំង

ដូច្នេះ ខ្ញុំបានមើល Windows Servers ជាច្រើនដែលស្ថិតក្រោមការគ្រប់គ្រងរបស់ខ្ញុំ ដែលត្រូវបានបង្ខំយ៉ាងព្រៃផ្សៃ អស់រយៈពេលប្រហែលពីរបីឆ្នាំហើយ ហើយមិនជោគជ័យទេ។

តើខ្ញុំដឹងថាវាមិនជោគជ័យដោយរបៀបណា?
ដោយសារតែនៅក្នុងរូបថតអេក្រង់ខាងលើអ្នកអាចមើលឃើញថាមានកំណត់ហេតុនៃការហៅទូរស័ព្ទ RDP ដែលទទួលបានជោគជ័យដែលមានព័ត៌មាន:

• ពី IP ណា
• ពីកុំព្យូទ័រណា (ឈ្មោះម៉ាស៊ីន)
• ឈ្មោះ​អ្នកប្រើប្រាស់
• ព័ត៌មាន GeoIP

ហើយខ្ញុំពិនិត្យនៅទីនោះជាទៀងទាត់ - គ្មានភាពមិនធម្មតាត្រូវបានរកឃើញទេ។

ដោយវិធីនេះ ប្រសិនបើ IP ជាក់លាក់មួយត្រូវបានបង្ខំយ៉ាងធ្ងន់ធ្ងរ នោះអ្នកអាចបិទ IP នីមួយៗ (ឬបណ្តាញរង) ដូចនេះនៅក្នុង PowerShell៖

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

ដោយវិធីនេះ Elastic បន្ថែមពីលើ Winlogbeat ក៏មានផងដែរ។ សវនកម្មដែលអាចត្រួតពិនិត្យឯកសារ និងដំណើរការនៅលើប្រព័ន្ធ។ វាក៏មានកម្មវិធី SIEM (Security Information & Event Management) នៅក្នុង Kibana ផងដែរ។ ខ្ញុំបានសាកល្បងទាំងពីរ ប៉ុន្តែមិនបានឃើញអត្ថប្រយោជន៍ច្រើនទេ - វាមើលទៅដូចជា Auditbeat នឹងមានប្រយោជន៍ជាងសម្រាប់ប្រព័ន្ធលីនុច ហើយ SIEM មិនទាន់បង្ហាញអ្វីដែលអាចយល់បានដល់ខ្ញុំនៅឡើយទេ។

ជាការប្រសើរណាស់, អនុសាសន៍ចុងក្រោយ:

• ធ្វើការបម្រុងទុកដោយស្វ័យប្រវត្តិជាទៀងទាត់។
• ដំឡើងបច្ចុប្បន្នភាពសុវត្ថិភាពក្នុងលក្ខណៈទាន់ពេលវេលា

ប្រាក់រង្វាន់៖ បញ្ជីនៃអ្នកប្រើប្រាស់ 50 នាក់ដែលត្រូវបានគេប្រើញឹកញាប់បំផុតសម្រាប់ការប៉ុនប៉ងចូល RDP

"user.name: ចុះ"
រាប់

dfthd7c (ឈ្មោះម៉ាស៊ីន)
842941

winsrv1 (ឈ្មោះម៉ាស៊ីន)
266525

អ្នកគ្រប់គ្រង
180678

អ្នកគ្រប់គ្រង
163842

អ្នកគ្រប់គ្រង
53541

មីលអេល
23101

ម៉ាស៊ីនបម្រើ
21983

steve
21936

យ៉ូហាន
21927

paul
21913

ទទួលភ្ញៀវ
21909

លោក Mike
21899

ការិយាល័យ
21888

ម៉ាស៊ីនស្កេន
21887

ស្កេន
21867

ព្រះបាទដាវីឌ
21865

លោក Chris
21860

ម្ចាស់
21855

អ្នកចាត់ការទូទៅ
21852

អ្នកគ្រប់គ្រង
21841

brian
21839

អ្នកគ្រប់គ្រង
21837

សញ្ញា
21824

បុគ្គលិក
21806

គ្រប់គ្រង
12748

ចាក់ឬស
7772

រដ្ឋបាល
7325

ជំនួយ
5577

ជំនួយ
5418

អ្នក​ប្រើ
4558

គ្រប់គ្រង
2832

សាកល្បង
1928

mysql
1664

admin
1652

ភ្ញៀវ
1322

USER1
1179

ម៉ាស៊ីនស្កេន
1121

ស្កេន
1032

អ្នកគ្រប់គ្រង
842

អ្នកគ្រប់គ្រង ១
525

បម្រុងទុក
518

MySqlAdmin
518

ការទទួលយក
490

USER2
466

TEMP
452

SQLADMIN
450

USER3
441

1
422

អ្នកចាត់ការ
418

អ្នកធ្វើ
410

ប្រភព: www.habr.com