Bieži esmu lasÄ«jis viedokli, ka atvÄrt RDP (Remote Desktop Protocol) portu internetam ir ļoti nedroÅ”i un to nevajadzÄtu darÄ«t. Bet jums ir jÄpieŔķir piekļuve RDP vai nu caur VPN, vai tikai no noteiktÄm ābaltajÄmā IP adresÄm.
Es administrÄju vairÄkus Windows serverus maziem uzÅÄmumiem, kur man ir uzdots nodroÅ”inÄt grÄmatvežiem attÄlo piekļuvi Windows Server. TÄda ir mÅ«sdienu tendence ā darbs no mÄjÄm. Diezgan Ätri sapratu, ka mocÄ«t VPN grÄmatvežus ir nepateicÄ«gs uzdevums, un savÄkt visus IP baltajam sarakstam nedarbosies, jo cilvÄku IP adreses ir dinamiskas.
TÄpÄc es izvÄlÄjos vienkÄrÅ”Äko ceļu - pÄrsÅ«tÄ«ju LAP portu uz Äru. Lai piekļūtu, grÄmatvežiem tagad ir jÄpalaiž RDP un jÄievada resursdatora nosaukums (ieskaitot portu), lietotÄjvÄrds un parole.
Å ajÄ rakstÄ padalÄ«Å”os ar savu pieredzi (pozitÄ«vo un ne tik pozitÄ«vo) un ieteikumiem.
Riski
Ar ko jÅ«s riskÄjat, atverot LAP portu?
1) Neatļauta piekļuve sensitīviem datiem
Ja kÄds uzminÄs LAP paroli, viÅÅ” varÄs iegÅ«t datus, kurus vÄlaties paturÄt privÄtus: konta statusu, atlikumus, klientu datus, ...
2) Datu zudums
PiemÄram, ransomware vÄ«rusa rezultÄtÄ.
Vai arÄ« uzbrucÄja apzinÄta darbÄ«ba.
3) Darbstacijas zudums
Darbiniekiem ir jÄstrÄdÄ, bet sistÄma ir apdraudÄta un ir jÄinstalÄ/jÄatjauno/jÄkonfigurÄ no jauna.
4) VietÄjÄ tÄ«kla kompromitÄÅ”ana
Ja uzbrucÄjs ir ieguvis piekļuvi Windows datoram, tad no Ŕī datora viÅÅ” varÄs piekļūt sistÄmÄm, kas nav pieejamas no Ärpuses, no interneta. PiemÄram, failu koplietoÅ”anai, tÄ«kla printeriem utt.
Man bija gadÄ«jums, kad Windows Server noÄ·Ära izspiedÄjprogrammatÅ«ru
un Ŕī izspiedÄjprogrammatÅ«ra vispirms Å”ifrÄja lielÄko daļu failu C: diskdzinÄ« un pÄc tam sÄka Å”ifrÄt failus NAS tÄ«klÄ. TÄ kÄ NAS bija Synology, ar konfigurÄtiem momentuzÅÄmumiem, es atjaunoju NAS 5 minÅ«tÄs un no jauna instalÄju Windows Server.
NovÄrojumi un ieteikumi
Es uzraugu Windows serverus, izmantojot
UzraudzÄ«ba pati par sevi neaizsargÄ, bet palÄ«dz noteikt nepiecieÅ”amos pasÄkumus.
Å eit ir daži novÄrojumi:
a) LAP bÅ«s brutÄli piespiedu kÄrtÄ.
VienÄ no serveriem es instalÄju RDP nevis standarta portÄ 3389, bet gan 443 - labi, es maskÄÅ”os kÄ HTTPS. DroÅ”i vien ir vÄrts nomainÄ«t portu no standarta, bet tas neko daudz nedos. Å eit ir Ŕī servera statistika:
Redzams, ka nedÄļas laikÄ caur LAP bija gandrÄ«z 400 000 neveiksmÄ«gu pieteikÅ”anÄs mÄÄ£inÄjumu.
Redzams, ka bija mÄÄ£inÄjumi ielogoties no 55 001 IP adreses (dažas IP adreses jau biju bloÄ·Äjis).
Tas tieÅ”i liek secinÄt, ka jums ir jÄiestata fail2ban, bet
OperÄtÄjsistÄmai Windows Å”Ädas utilÄ«tas nav.
Å Ä·iet, ka vietnÄ Github ir daži pamesti projekti, kas, Ŕķiet, to dara, bet es pat neesmu mÄÄ£inÄjis tos instalÄt:
Ir arÄ« maksas komunÄlie maksÄjumi, bet es tos neesmu ÅÄmis vÄrÄ.
Ja zinÄt Å”im nolÅ«kam paredzÄtu atvÄrtÄ pirmkoda utilÄ«tu, lÅ«dzu, kopÄ«gojiet to komentÄros.
AtjauninÄt: KomentÄros bija minÄts, ka 443. ports ir slikta izvÄle, un labÄk izvÄlÄties augstas pieslÄgvietas (32000+), jo 443 tiek skenÄts biežÄk, un atpazÄ«t RDP Å”ajÄ portÄ nav problÄma.
b) Ir daži lietotÄjvÄrdi, kuriem uzbrucÄji dod priekÅ”roku
Var redzÄt, ka meklÄÅ”ana tiek veikta vÄrdnÄ«cÄ ar dažÄdiem nosaukumiem.
Bet es pamanÄ«ju Å”Ädu: ievÄrojams skaits mÄÄ£inÄjumu izmanto servera nosaukumu kÄ pieteikÅ”anos. Ieteikums: neizmantojiet vienu un to paÅ”u nosaukumu datoram un lietotÄjam. TurklÄt dažreiz Ŕķiet, ka viÅi mÄÄ£ina kaut kÄ parsÄt servera nosaukumu: piemÄram, sistÄmai ar nosaukumu DESKTOP-DFTHD7C visvairÄk mÄÄ£inÄjumi pieteikties ir ar nosaukumu DFTHD7C:
AttiecÄ«gi, ja jums ir DESKTOP-MARIA dators, jÅ«s, iespÄjams, mÄÄ£inÄsit pieteikties kÄ MARIA lietotÄjs.
VÄl viena lieta, ko pamanÄ«ju no žurnÄliem: lielÄkajÄ daÄ¼Ä sistÄmu lielÄkÄ daļa mÄÄ£inÄjumu pieteikties ir ar nosaukumu āadministratorsā. Un tas nav bez iemesla, jo daudzÄs Windows versijÄs Å”is lietotÄjs pastÄv. TurklÄt to nevar izdzÄst. Tas vienkÄrÅ”o uzbrucÄju uzdevumu: tÄ vietÄ, lai uzminÄtu vÄrdu un paroli, jums tikai jÄuzmin parole.
Starp citu, sistÄmai, kas noÄ·Ära izpirkuma programmu, bija lietotÄjs Administrators un parole Murmansk#9. Es joprojÄm neesmu pÄrliecinÄts, kÄ Å”Ä« sistÄma tika uzlauzta, jo es sÄku uzraudzÄ«bu tieÅ”i pÄc Ŕī incidenta, taÄu es domÄju, ka pÄrspÄ«lÄjums ir iespÄjams.
TÄtad, ja administratora lietotÄju nevar izdzÄst, kas jums jÄdara? JÅ«s varat to pÄrdÄvÄt!
Ieteikumi no Ŕīs rindkopas:
- neizmantojiet lietotÄjvÄrdu datora nosaukumÄ
- pÄrliecinieties, vai sistÄmÄ nav administratora lietotÄja
- izmantojiet spÄcÄ«gas paroles
TÄtad jau apmÄram pÄris gadus esmu vÄrojis, kÄ vairÄki manÄ kontrolÄ esoÅ”ie Windows serveri tiek rupji piespiesti, un bez panÄkumiem.
KÄ es varu zinÄt, ka tas ir neveiksmÄ«gs?
Jo augstÄk redzamajos ekrÄnuzÅÄmumos var redzÄt, ka ir veiksmÄ«gu LAP zvanu žurnÄli, kuros ir Å”Äda informÄcija:
- no kura IP
- no kura datora (resursdatora nosaukums)
- lietotÄjvÄrds
- GeoIP informÄcija
Un es tur regulÄri pÄrbaudu - nekÄdas anomÄlijas nav konstatÄtas.
Starp citu, ja noteikta IP tiek veikta Ä«paÅ”i smagi, varat bloÄ·Ät atseviŔķus IP (vai apakÅ”tÄ«klus), piemÄram, programmÄ PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
Starp citu, Elastic, papildus Winlogbeat, ir arī
Nu, pÄdÄjie ieteikumi:
- RegulÄri veiciet automÄtiskas dublÄjumkopijas.
- laicÄ«gi instalÄjiet droŔības atjauninÄjumus
Bonuss: saraksts ar 50 lietotÄjiem, kuri visbiežÄk tika izmantoti LAP pieteikÅ”anÄs mÄÄ£inÄjumiem
"user.name: dilstoÅ”Ä secÄ«bÄ"
Skaitīt
dfthd7c (resursdatora nosaukums)
842941
winsrv1 (resursdatora nosaukums)
266525
ADMINISTRATORS
180678
administrators
163842
administrators
53541
michael
23101
serveris
21983
steve
21936
john
21927
paul
21913
uztverŔana
21909
slaistīties
21899
birojs
21888
skeneris
21887
meklÄt
21867
david
21865
chris
21860
īpaŔnieks
21855
vadÄ«tÄjs
21852
administrateur
21841
brian
21839
administrators
21837
zīme
21824
personÄls
21806
ADMINISTS
12748
ROOT
7772
ADMINISTRADORS
7325
ATBALSTS
5577
ATBALSTS
5418
LIETOTÄJA
4558
admin
2832
PÄRBAUDE
1928
mysql
1664
Admin
1652
VIESU
1322
LIETOTÄJS1
1179
SKANNERIS
1121
SCAN
1032
ADMINISTRATORS
842
ADMINISTORS1
525
BACKUP
518
MySqlAdmin
518
UZÅ
EMÅ ANA
490
LIETOTÄJS2
466
TEMP
452
SQLADMIN
450
LIETOTÄJS3
441
1
422
MANAGER
418
ÄŖPAÅ NIEKS
410
Avots: www.habr.com