Ech hunn dacks d'Meenung gelies datt en RDP (Remote Desktop Protocol) Hafen op den Internet ophalen ass ganz onsécher a sollt net gemaach ginn. Awer Dir musst Zougang zu RDP entweder iwwer e VPN ginn, oder nëmme vu bestëmmte "wäiss" IP Adressen.
Ech verwalten e puer Windows Servere fir kleng Firmen, wou ech d'Aufgab krut fir Remote Zougang zum Windows Server fir Comptabelen ze bidden. Dëst ass de modernen Trend - vun doheem schaffen. Zimlech séier hunn ech gemierkt datt VPN Comptabelen eng dankbar Aufgab ass, an all d'IPs fir d'wäiss Lëscht sammelen wäert net funktionnéieren, well d'IP Adresse vun de Leit dynamesch sinn.
Dofir hunn ech den einfachsten Wee geholl - de RDP Hafen no baussen weidergeleet. Fir Zougang ze kréien, musse Comptabelen elo RDP lafen an den Hostnumm (inklusive Port), Benotzernumm a Passwuert aginn.
An dësem Artikel wäert ech meng Erfahrung (positiv an net esou positiv) an Empfehlungen deelen.
Risiken
Wat riskéiert Dir andeems Dir de RDP Hafen opmaacht?
1) Onerlaabten Zougang zu sensiblen Donnéeën
Wann iergendeen d'RDP Passwuert roden, da kënne se Daten kréien, déi Dir privat wëllt halen: Kontstatus, Salden, Clientdaten, ...
2) Dateverloscht
Zum Beispill, als Resultat vun engem Ransomware Virus.
Oder eng bewosst Handlung vun engem Ugräifer.
3) Verloscht vun workstation
D'Aarbechter musse schaffen, awer de System ass kompromittéiert a muss nei installéiert / restauréiert / konfiguréiert ginn.
4) Kompromëss vum lokalen Netzwierk
Wann en Ugräifer Zougang zu engem Windows-Computer kritt huet, da wäert hien vun dësem Computer fäeg sinn op Systemer ze kommen, déi vu baussen net zougänglech sinn, vum Internet. Zum Beispill, fir Dateien ze deelen, op Netzwierkdrucker, etc.
Ech hat e Fall wou Windows Server eng Ransomware gefaangen huet
an dës Ransomware huet als éischt déi meescht Dateien op der C: Drive verschlësselt an huet dann ugefaang d'Dateien op der NAS iwwer dem Netz ze verschlësselen. Zënter datt d'NAS Synology war, mat Snapshots konfiguréiert, hunn ech d'NAS an 5 Minutten restauréiert, an de Windows Server vun Null nei installéiert.
Observatiounen a Recommandatiounen
Ech Monitor Windows Serveren benotzt , déi Logbicher op ElasticSearch schécken. Kibana huet verschidde Visualiséierungen, an ech hunn och e personaliséierten Dashboard opgeriicht.
Iwwerwaachung selwer schützt net, awer et hëlleft déi néideg Moossnamen ze bestëmmen.
Hei sinn e puer Observatiounen:
a) RDP wäert brute forcéiert ginn.
Op ee vun de Serveren hunn ech RDP net um Standardport 3389 installéiert, awer op 443 - gutt, ech verkleeden mech als HTTPS. Et ass méiglecherweis derwäert den Hafen vum Standard z'änneren, awer et wäert net vill gutt maachen. Hei sinn d'Statistike vun dësem Server:
Et kann gesi ginn datt et an enger Woch bal 400 Mëssgléckt Versich goufen iwwer RDP aloggen.
Et kann gesi ginn datt et Versich gouf fir sech vu 55 IP Adressen unzemellen (e puer IP Adresse ware scho vu mir gespaart).
Dëst proposéiert direkt d'Conclusioun datt Dir fail2ban setzen musst, awer
Et gëtt keen esou Utility fir Windows.
Et ginn e puer opginn Projeten op Github déi dëst schéngen ze maachen, awer ech hunn net emol probéiert se ze installéieren:
Et ginn och bezuelte Utilities, awer ech hunn se net berücksichtegt.
Wann Dir en Open Source Utility fir dësen Zweck kennt, deelt et w.e.g. an de Kommentaren.
Aktualiséierung: D'Kommentaren suggeréiert datt den Hafen 443 e schlechte Choix ass, an et ass besser fir héich Häfen ze wielen (32000+), well 443 méi dacks gescannt gëtt, an d'RDP op dësem Hafen ze erkennen ass kee Problem.
b) Et gi gewësse Benotzernimm déi Ugräifer léiwer maachen
Et kann gesi ginn datt d'Sich an engem Wierderbuch mat verschiddenen Nimm gemaach gëtt.
Awer hei ass wat ech gemierkt hunn: eng bedeitend Unzuel vun Versich benotze de Servernumm als Login. Recommandatioun: Benotzt net dee selwechten Numm fir de Computer an de Benotzer. Ausserdeem, heiansdo gesäit et aus wéi wann se probéieren de Servernumm iergendwéi ze analyséieren: zum Beispill, fir e System mam Numm DESKTOP-DFTHD7C, sinn déi meescht Versich fir sech aloggen mam Numm DFTHD7C:
Deementspriechend, wann Dir en DESKTOP-MARIA Computer hutt, wäert Dir wahrscheinlech probéieren Iech als MARIA Benotzer unzemellen.
Eng aner Saach, déi ech aus de Logbicher gemierkt hunn: op de meeschte Systemer sinn déi meescht Versuche fir aloggen mam Numm "Administrator". An dat ass net ouni Grond, well a ville Versioune vu Windows existéiert dëse Benotzer. Ausserdeem kann et net geläscht ginn. Dëst vereinfacht d'Aufgab fir Ugräifer: amplaz e Numm a Passwuert ze roden, musst Dir nëmmen d'Passwuert roden.
Iwwregens, de System, deen d'Ransomware gefaangen huet, hat de Benotzer Administrator an d'Passwuert Murmansk#9. Ech sinn nach ëmmer net sécher wéi dee System gehackt gouf, well ech ugefaang hunn just no deem Zwëschefall ze iwwerwaachen, awer ech mengen datt iwwerkill wahrscheinlech ass.
Also wann den Administrator Benotzer net geläscht ka ginn, wat sollt Dir dann maachen? Dir kënnt et ëmbenennen!
Empfehlungen aus dësem Paragraf:
- benotzen net de Benotzernumm am Computer Numm
- sécherstellen, datt et keen Administrateur Benotzer op de System ass
- benotzen staark Passwierder
Also, ech hunn e puer Windows Serveren ënner menger Kontroll gekuckt fir brute-forced fir ongeféier e puer Joer elo, an ouni Erfolleg.
Wéi weess ech datt et net erfollegräich ass?
Well an de Screenshots hei uewen kënnt Dir gesinn datt et Logbicher vun erfollegräichen RDP-Uriff sinn, déi d'Informatioun enthalen:
- vu wéi enger IP
- vu wéi engem Computer (Hostnumm)
- Benotzernumm
- GeoIP Informatiounen
An ech kontrolléieren do regelméisseg - keng Anomalien goufen fonnt.
Iwwregens, wann eng bestëmmte IP besonnesch schwéier gezwongen ass, da kënnt Dir individuell IPs (oder Subnets) wéi dëst an PowerShell blockéieren:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockElastic, Nieft Winlogbeat, huet iwwregens och , déi Dateien a Prozesser um System iwwerwaachen. Et gëtt och eng SIEM (Security Information & Event Management) Applikatioun zu Kibana. Ech hu béid probéiert, awer net vill Virdeel gesinn - et gesäit aus wéi Auditbeat méi nëtzlech ass fir Linux Systemer, an SIEM huet mir nach näischt verständlech gewisen.
Gutt, lescht Empfehlungen:
- Maacht regelméisseg automatesch Backups.
- installéiert Sécherheetsupdates fristgerecht
Bonus: Lëscht vun 50 Benotzer déi meeschtens fir RDP Login Versich benotzt goufen
"user.name: erofgaang"
Grof
dfthd7c (Hostnumm)
842941
winsrv1 (Hostnumm)
266525
ADMINISTRATEUR
180678
Administrateur
163842
Administrator
53541
michael
23101
Server
21983
steve
21936
john
21927
Paul
21913
Rezeptioun
21909
mike
21899
Büro
21888
Scanner
21887
Scanner
21867
david
21865
Chris
21860
Besëtzer
21855
Manager
21852
Administrateur
21841
brian
21839
Administrateur
21837
uerg
21824
Mataarbechter
21806
ADMIN
12748
ROOT
7772
ADMINISTRATEUR
7325
KRUT
5577
SUPPORT
5418
BENOTZER
4558
Administrator
2832
TEST
1928
mysql
1664
Administrator
1652
Gäscht
1322
BENOTZER
1179
SCANNEN
1121
SCAN
1032
ADMINISTRATEUR
842
ADMIN 1
525
BACKUP
518
MySqlAdmin
518
RECEPTIOUN
490
BENOTZER
466
TEMP
452
SQLADMIN
450
BENOTZER
441
1
422
MANAGER
418
Proprietär
410
Source: will.com