Min gelek caran ev raman xwendiye ku girtina portek RDP (Protokola Sermaseya Dûr) ji Înternetê re pir ne ewle ye û divê neyê kirin. Lê hûn hewce ne ku hûn bi riya VPN-ê, an jî tenê ji hin navnîşanên IP-ê yên "spî" bigihîjin RDP-ê.
Ez ji bo fîrmayên piçûk çend Pêşkêşkerên Windows-ê birêve dibim ku li wir ji min re peywira peydakirina gihandina ji dûr ve ji Windows Server-ê re ji bo hesabkaran hatîye peywirdar kirin. Ev meyla nûjen e - ji malê dixebitin. Pir zû, min fêhm kir ku êşkencekirina hesabên VPN karekî spasdar e, û berhevkirina hemî IP-yên ji bo navnîşa spî dê nexebite, ji ber ku navnîşanên IP-ya mirovan dînamîk in.
Ji ber vê yekê, min riya herî hêsan girt - porta RDP ber bi derve ve şand. Ji bo gihîştina gihîştinê, hesabker naha hewce ne ku RDP bimeşînin û navê mêvandar (tevî portê), navê bikarhêner û şîfreyê têkevin.
Di vê gotarê de ez ê ezmûna xwe (erênî û ne ewqas erênî) û pêşniyarên xwe parve bikim.
Rîsks
Hûn bi vekirina porta RDP çi xeternak in?
1) Gihîştina bêdestûr a daneyên hesas
Ger kesek şîfreya RDP texmîn bike, ew ê bikaribe daneyên ku hûn dixwazin nepenî bihêlin bistînin: rewşa hesabê, hevseng, daneyên xerîdar, ...
2) windabûna daneyan
Mînakî, wekî encamek vîrusek ransomware.
An jî çalakiyek bi zanebûn a êrîşkar.
3) Wendakirina qereqola xebatê
Pêdivî ye ku xebatkar bixebitin, lê pergal têkçûye û pêdivî ye ku ji nû ve were saz kirin / nûvekirin / mîheng kirin.
4) Lihevkirina tora herêmî
Ger êrîşkarek bigihîje komputerek Windows-ê, wê hingê ji vê komputerê ew ê bikaribe xwe bigihîne pergalên ku ji der ve, ji Înternetê nayên gihîştin. Mînakî, parvekirina pelan, çapkerên torê, hwd.
Min bûyerek hebû ku Windows Server ransomware girt
û vê ransomware pêşî piraniya pelên li ser ajokera C: şîfre kir û dûv re dest bi şîfrekirina pelên li ser NAS-ê li ser torê kir. Ji ber ku NAS Synolojî bû, bi dîmenên mîhengkirî re, min NAS di 5 hûrdeman de sererast kir, û Windows Server ji nû ve saz kir.
Çavdêrî û Pêşniyar
Ez serverên Windows-ê bikar tînim çavdêrî dikim , ku têketin ji ElasticSearch re dişîne. Kibana gelek dîtbarî hene, û min jî dashboardek xwerû saz kir.
Çavdêrî bixwe naparêze, lê ew ji bo destnîşankirina tedbîrên pêwîst dibe alîkar.
Li vir çend çavdêrî hene:
a) RDP dê bi zorê hovane be.
Li ser yek ji serveran, min RDP ne li porta standard 3389, lê li ser 443 saz kir - baş e, ez ê xwe wekî HTTPS veşêrim. Belkî hêja ye ku portê ji ya standard biguhezîne, lê ew ê pir baş neke. Li vir statîstîkên vê serverê hene:
Tê dîtin ku di hefteyekê de hema hema 400 hewildanên neserkeftî hene ku bi riya RDP têkevin.
Tê dîtin ku ji 55 navnîşanên IP-yê hewildanên têketinê hebûn (hin navnîşanên IP-yê berê ji hêla min ve hatine asteng kirin).
Ev rasterast vê encamê destnîşan dike ku hûn hewce ne ku fail2ban saz bikin, lê
Ji bo Windows-ê amûrek wusa tune.
Li ser Github çend projeyên berdayî hene ku wusa dixuye ku vê yekê dikin, lê min jî hewl nedaye ku wan saz bikim:
Karûbarên bi drav jî hene, lê min ew nehesiband.
Heke hûn ji bo vê armancê amûrek çavkaniya vekirî dizanin, ji kerema xwe wê di şîroveyan de parve bikin.
update: Şîroveyan pêşniyar kir ku port 443 bijarek xirab e, û çêtir e ku hûn portên bilind (32000+) hilbijêrin, ji ber ku 443 pir caran tê skankirin, û naskirina RDP li ser vê portê ne pirsgirêk e.
b) Hin navên bikarhêner hene ku êrîşkar tercîh dikin
Tê dîtin ku lêgerîn di ferhengeke bi navên cuda de hatiye kirin.
Lê li vir tiştê ku min bala xwe kişand ev e: hejmareke girîng a hewildan navê serverê wekî têketinê bikar tînin. Pêşniyar: Ji bo komputer û bikarhêner heman navî bikar neynin. Wekî din, carinan wusa dixuye ku ew hewl didin ku bi rengekî navê serverê pars bikin: Mînakî, ji bo pergalek bi navê DESKTOP-DFTHD7C, herî zêde hewildanên têketinê bi navê DFTHD7C ne:
Li gorî vê yekê, heke we komputerek DESKTOP-MARIA hebe, hûn ê belkî hewl bidin ku wekî bikarhênerê MARIA têkevinê.
Tiştek din ku min ji têketinê dît: li ser pir pergalan, piraniya hewildanên têketinê bi navê "rêveber" in. Û ev ne bê sedem e, ji ber ku di gelek guhertoyên Windows-ê de, ev bikarhêner heye. Wekî din, ew nayê jêbirin. Ev peywira êrîşkaran hêsan dike: Li şûna ku hûn nav û şîfreyek texmîn bikin, hûn tenê hewce ne ku şîfreyê texmîn bikin.
Bi awayê, pergala ku ransomware girt xwedan Rêveberê bikarhêner û şîfreya Murmansk #9 bû. Ez hîn jî ne bawer im ku ew pergal çawa hate hack kirin, ji ber ku min hema piştî wê bûyerê dest bi çavdêriyê kir, lê ez difikirim ku ew zêdeyî îhtîmal e.
Ji ber vê yekê heke bikarhênerê Rêvebir neyê jêbirin, wê hingê divê hûn çi bikin? Hûn dikarin navê wê biguherînin!
Pêşniyarên ji vê paragrafê:
- di navê kompîturê de navê bikarhêner bikar neynin
- Piştrast bikin ku li ser pergalê bikarhênerek Rêvebir tune
- şîfreyên xurt bikar bînin
Ji ber vê yekê, min ev çend sal in li çend Serverên Windows-ê yên di bin kontrola min de temaşe dikim ku bi zorê têne zorê kirin, û bêyî serfirazî.
Ez çawa dizanim ku ew neserketî ye?
Ji ber ku di dîmenên li jor de hûn dikarin bibînin ku têketinên bangên RDP yên serketî hene, ku agahdariya tê de hene:
- ji kîjan IP
- ji kîjan komputerê (navê mêvandar)
- Navê bikarhêner
- Agahdariya GeoIP
Û ez li wir bi rêkûpêk kontrol dikim - tu anomalî nehatine dîtin.
Bi awayê, heke IP-ya taybetî bi taybetî bi zorê tê zorê kirin, wê hingê hûn dikarin IP-yên takekesî (an jêrtorên) mîna vê di PowerShell de asteng bikin:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockBi awayê, Elastic, ji bilî Winlogbeat, jî heye , ku dikare pel û pêvajoyên li ser pergalê bişopîne. Li Kibana serîlêdanek SIEM (Agahdariya Ewlekariyê & Rêvebiriya Bûyerê) jî heye. Min herdu jî ceriband, lê zêde feyde nedît - wisa dixuye ku Auditbeat dê ji bo pergalên Linux-ê bikêrtir be, û SIEM hîn tiştek têgihîştî nîşanî min nedaye.
Welê, pêşniyarên dawîn:
- Backupên otomatîkî yên birêkûpêk çêbikin.
- Nûvekirinên Ewlekariyê di wextê xwe de saz bikin
Bonus: navnîşa 50 bikarhênerên ku pir caran ji bo hewildanên têketina RDP hatine bikar anîn
"user.name: Descending"
Jimartin
dfthd7c (navê mêvandar)
842941
winsrv1 (navê mêvandar)
266525
BIRÊVEBIR
180678
birêvebir
163842
Birêvebir
53541
michael
23101
server
21983
steve
21936
john
21927
paul
21913
qebûlgeha otêlan
21909
mike
21899
dayre
21888
scanner
21887
scan
21867
david
21865
chris
21860
xwedî
21855
rêvebir
21852
birêvebir
21841
brian
21839
rêveberê
21837
delîl
21824
darik
21806
ADMIN
12748
ROOT
7772
ADMINISTRADOR
7325
ALÎKARÎ
5577
SUPPORT
5418
BIKARANÎVAN
4558
admin
2832
ÎMTÎHAN
1928
mysql
1664
admin
1652
MÊVAN
1322
USER1
1179
TO SCAN
1121
SCAN
1032
BIRÊVEBIR
842
ADMIN1
525
PACKUPT
518
MySqlAdmin
518
QEBÛLGEHA OTÊLAN
490
USER2
466
TEMP
452
SQLADMIN
450
USER3
441
1
422
RÊVEBIR
418
XWEDÎ
410
Source: www.habr.com