Мен RDP (Remote Desktop Protocol) портун Интернетке ачык кармоо өтө кооптуу жана андай кылбаш керек деген пикирди көп окугам. Бирок сиз VPN аркылуу же белгилүү бир "ак" IP даректерден RDP мүмкүнчүлүгүн беришиңиз керек.
Мен кичинекей фирмалар үчүн бир нече Windows серверлерин башкарам, анда мага бухгалтерлер үчүн Windows серверине алыстан кирүү мүмкүнчүлүгүн берүү тапшырмасы берилди. Бул заманбап тренд - үйдөн иштөө. Мен тез эле түшүндүм, VPN эсепчилерин кыйнап, алсыз иш экенин жана ак тизмеге бардык IP даректерин чогултуу иштебейт, анткени адамдардын IP даректери динамикалык.
Ошондуктан, мен эң жөнөкөй жолду тандадым - RDP портун сыртка багыттадым. Кирүү үчүн бухгалтерлер азыр RDP иштетип, хосттун атын (анын ичинде порт), колдонуучу атын жана паролду киргизиши керек.
Бул макалада мен өз тажрыйбам менен бөлүшөм (позитивдүү жана анчалык деле позитивдүү эмес) жана сунуштар.
тобокелдиктер
RDP портун ачуу менен эмнени тобокелге салып жатасыз?
1) купуя маалыматтарга уруксатсыз кирүү
Эгер кимдир бирөө RDP сырсөзүн тапса, алар сиз купуя сактагыңыз келген маалыматтарды ала алышат: эсептин абалы, баланстар, кардар маалыматтары, ...
2) Маалымат жоготуу
Мисалы, ransomware вирусунун натыйжасында.
Же кол салуучунун атайылап аракети.
3) Жумушчу станцияны жоготуу
Жумушчулар иштеши керек, бирок система бузулган жана аны кайра орнотуу/калыбына келтирүү/конфигурациялоо керек.
4) Локалдык тармактын компромисси
Эгерде чабуулчу Windows компьютерине кирүү мүмкүнчүлүгүнө ээ болсо, анда бул компьютерден ал сырттан, Интернеттен кирүүгө мүмкүн болбогон системаларга кире алат. Мисалы, бөлүшүү үчүн, тармактык принтерлерге ж.б.
Менде Windows Server ransomware кармап алган учур болгон
жана бул ransomware адегенде C: дискиндеги файлдардын көбүн шифрлеп, андан кийин тармак аркылуу NAS файлдарын шифрлей баштаган. NAS Synology болгондуктан, снапшоттор конфигурацияланган, мен NASти 5 мүнөттүн ичинде калыбына келтирип, Windows Server нөлдөн баштап кайра орноттум.
Байкоолор жана сунуштар
Мен Windows серверлерин колдонуп көзөмөлдөйм , журналдарды ElasticSearch'ке жөнөтөт. Кибананын бир нече визуализациясы бар жана мен ошондой эле ыңгайлаштырылган башкаруу тактасын орноттум.
Мониторинг өзү коргобойт, бирок керектүү чараларды аныктоого жардам берет.
Бул жерде кээ бир байкоолор болуп саналат:
а) РДП катаал мажбурланат.
Серверлердин биринде мен RDPди стандарттуу 3389 портуна эмес, 443кө орнотконмун - жакшы, мен өзүмдү HTTPS катары жамынып алам. Балким, портту стандарттуу порттон алмаштыруу керек, бирок ал жакшылыкка алып келбейт. Бул сервердин статистикасы:
Бир жуманын ичинде RDP аркылуу кирүү үчүн дээрлик 400 000 ийгиликсиз аракеттер болгонун көрүүгө болот.
55 001 IP даректерден кирүү аракеттери болгонун көрүүгө болот (айрым IP даректер мен тарабынан бөгөттөлгөн).
Бул түздөн-түз сиз fail2ban орнотуу керек деген корутундуну сунуш кылат, бирок
Windows үчүн мындай утилита жок.
Githubда бир нече ташталган долбоорлор бар, алар муну жасайт окшойт, бирок мен аларды орнотууга аракет кыла элекмин:
Акы төлөнүүчү коммуналдык кызматтар да бар, бирок мен аларды эске алган жокмун.
Эгер сиз бул максат үчүн ачык булак программасын билсеңиз, аны комментарийлерде бөлүшүңүз.
Update: Комментарийлерде порт 443 туура эмес тандоо жана жогорку портторду (32000+) тандап алуу жакшыраак, анткени 443 көбүрөөк сканерленет жана бул портто RDP таануу көйгөй эмес деп айтышты.
б) Кол салгандар жактырган айрым колдонуучу аттары бар
Издөө ар кандай аталыштагы сөздүктө жүргүзүлүп жатканын көрүүгө болот.
Бирок мен байкаган нерсе: сервердин атын логин катары колдонуп жаткан аракеттердин көбү. Сунуш: Компьютер менен колдонуучу үчүн бир аталышты колдонбоңуз. Андан тышкары, кээде алар сервердин атын кандайдыр бир жол менен талдоо аракетин көрүп жаткандай көрүнөт: мисалы, DESKTOP-DFTHD7C аталышындагы система үчүн, DFTHD7C аталышы менен кирүү аракеттеринин көбү:
Демек, сизде DESKTOP-MARIA компьютери болсо, анда сиз MARIA колдонуучусу катары кирүүгө аракет кылып жаткандырсыз.
Мен журналдардан дагы бир нерсени байкадым: көпчүлүк системаларда кирүү аракеттеринин көбү "администратор" аты менен болот. Бул бекеринен эмес, анткени Windowsтун көптөгөн версияларында бул колдонуучу бар. Мындан тышкары, аны жок кылуу мүмкүн эмес. Бул чабуулчулар үчүн тапшырманы жеңилдетет: атын жана сырсөзүн болжолдоонун ордуна, сиз жөн гана паролду табышыңыз керек.
Айтмакчы, ransomware кармаган системада колдонуучу Администратор жана Мурманск#9 сырсөзү болгон. Мен ал системанын кандайча бузулганын дагы деле билбейм, анткени мен ошол окуядан кийин эле мониторинг жүргүзө баштадым, бирок менимче, ашыкча чабуул болушу мүмкүн.
Демек, Администратор колдонуучуну жок кылуу мүмкүн болбосо, анда эмне кылуу керек? Сиз анын атын өзгөртө аласыз!
Ушул пункттан сунуштар:
- компьютердин аталышында колдонуучунун атын колдонбоңуз
- тутумда администратор колдонуучу жок экенин текшериңиз
- күчтүү сырсөздөрдү колдонуу
Ошентип, мен бир нече жылдан бери менин көзөмөлүмдө болгон бир нече Windows серверлеринин катаал түрдө мажбурланганын жана ийгиликсиз болуп жатканын көрүп келе жатам.
Бул ийгиликсиз экенин кайдан билем?
Анткени жогорудагы скриншоттордон ийгиликтүү RDP чалууларынын журналдары бар экенин көрө аласыз, аларда маалымат камтылган:
- кайсы IPден
- кайсы компьютерден (хост аты)
- Колдонуучунун аты
- GeoIP маалымат
Жана мен ал жерде дайыма текшерип жатам - эч кандай аномалия табылган жок.
Айтмакчы, эгерде белгилүү бир IP өзгөчө катаал күчтөп жатса, анда PowerShellде ушул сыяктуу жеке IPлерди (же субсеталарды) бөгөттөсөңүз болот:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockАйтмакчы, Elastic, Winlogbeat тышкары, ошондой эле бар , ал тутумдагы файлдарды жана процесстерди көзөмөлдөй алат. Кибанада SIEM (Коопсуздук маалыматы жана окуяларды башкаруу) тиркемеси да бар. Мен экөөнү тең аракет кылдым, бирок көп пайда көргөн жокмун - Auditbeat Linux тутумдары үчүн пайдалуураак болот окшойт, жана SIEM мага азырынча түшүнүктүү эч нерсе көрсөтө элек.
Ооба, акыркы сунуштар:
- Кадимки автоматтык камдык көчүрмөлөрдү жасаңыз.
- Коопсуздук Жаңыртууларын өз убагында орнотуу
Бонус: RDP кирүү аракеттери үчүн эң көп колдонулган 50 колдонуучунун тизмеси
"user.name: Төмөндө"
эсептөө
dfthd7c (хост аты)
842941
winsrv1 (хост аты)
266525
АДМИНИСТРАТОР
180678
администратор
163842
Administrator
53541
майкл
23101
Server
21983
Макс
21936
джон
21927
пол
21913
алуу
21909
майк
21899
кызматы
21888
сканер
21887
скандоочу
21867
Дөөтү
21865
крис
21860
ээси
21855
менеджер
21852
администратор
21841
брайан
21839
администратор
21837
белги
21824
кызматкерлери
21806
ADMIN
12748
ЖАЮУУДА
7772
ADMINISTRATOR
7325
КОЛДОО
5577
КОЛДОО
5418
КОЛДОНУУЧУ
4558
админ
2832
TEST
1928
mysql
1664
Admin
1652
КОНОК
1322
USER1
1179
СКАНЕР
1121
скандоочу
1032
ADMINISTRATOR
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
КАБЫЛ АЛУУ
490
USER2
466
ТЕМП
452
SQLADMIN
450
USER3
441
1
422
МЕНЕДЖЕР
418
ЭЭСИ
410
Source: www.habr.com