🥇Vai ir bīstami turēt atvērtu LAP internetā?

Bieži esmu lasījis viedokli, ka atvērt RDP (Remote Desktop Protocol) portu internetam ir ļoti nedroši un to nevajadzētu darīt. Bet jums ir jāpiešķir piekļuve RDP vai nu caur VPN, vai tikai no noteiktām “baltajām” IP adresēm.

Es administrēju vairākus Windows serverus maziem uzņēmumiem, kur man ir uzdots nodrošināt grāmatvežiem attālo piekļuvi Windows Server. Tāda ir mūsdienu tendence – darbs no mājām. Diezgan ātri sapratu, ka mocīt VPN grāmatvežus ir nepateicīgs uzdevums, un savākt visus IP baltajam sarakstam nedarbosies, jo cilvēku IP adreses ir dinamiskas.

Tāpēc es izvēlējos vienkāršāko ceļu - pārsūtīju LAP portu uz āru. Lai piekļūtu, grāmatvežiem tagad ir jāpalaiž RDP un jāievada resursdatora nosaukums (ieskaitot portu), lietotājvārds un parole.

Šajā rakstā padalīšos ar savu pieredzi (pozitīvo un ne tik pozitīvo) un ieteikumiem.

Riski

Ar ko jūs riskējat, atverot LAP portu?

1) Neatļauta piekļuve sensitīviem datiem
Ja kāds uzminēs LAP paroli, viņš varēs iegūt datus, kurus vēlaties paturēt privātus: konta statusu, atlikumus, klientu datus, ...

2) Datu zudums
Piemēram, ransomware vīrusa rezultātā.
Vai arī uzbrucēja apzināta darbība.

3) Darbstacijas zudums
Darbiniekiem ir jāstrādā, bet sistēma ir apdraudēta un ir jāinstalē/jāatjauno/jākonfigurē no jauna.

4) Vietējā tīkla kompromitēšana
Ja uzbrucējs ir ieguvis piekļuvi Windows datoram, tad no šī datora viņš varēs piekļūt sistēmām, kas nav pieejamas no ārpuses, no interneta. Piemēram, failu koplietošanai, tīkla printeriem utt.

Man bija gadījums, kad Windows Server noķēra izspiedējprogrammatūru

un šī izspiedējprogrammatūra vispirms šifrēja lielāko daļu failu C: diskdzinī un pēc tam sāka šifrēt failus NAS tīklā. Tā kā NAS bija Synology, ar konfigurētiem momentuzņēmumiem, es atjaunoju NAS 5 minūtēs un no jauna instalēju Windows Server.

Novērojumi un ieteikumi

Es uzraugu Windows serverus, izmantojot Winlogbeat, kas nosūta žurnālus ElasticSearch. Kibanai ir vairākas vizualizācijas, un es arī izveidoju pielāgotu informācijas paneli.
Uzraudzība pati par sevi neaizsargā, bet palīdz noteikt nepieciešamos pasākumus.

Šeit ir daži novērojumi:
a) LAP būs brutāli piespiedu kārtā.
Vienā no serveriem es instalēju RDP nevis standarta portā 3389, bet gan 443 - labi, es maskēšos kā HTTPS. Droši vien ir vērts nomainīt portu no standarta, bet tas neko daudz nedos. Šeit ir šī servera statistika:

Redzams, ka nedēļas laikā caur LAP bija gandrīz 400 000 neveiksmīgu pieteikšanās mēģinājumu.
Redzams, ka bija mēģinājumi ielogoties no 55 001 IP adreses (dažas IP adreses jau biju bloķējis).

Tas tieši liek secināt, ka jums ir jāiestata fail2ban, bet

Operētājsistēmai Windows šādas utilītas nav.

Šķiet, ka vietnē Github ir daži pamesti projekti, kas, šķiet, to dara, bet es pat neesmu mēģinājis tos instalēt:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Ir arī maksas komunālie maksājumi, bet es tos neesmu ņēmis vērā.

Ja zināt šim nolūkam paredzētu atvērtā pirmkoda utilītu, lūdzu, kopīgojiet to komentāros.

Atjaunināt: Komentāros bija minēts, ka 443. ports ir slikta izvēle, un labāk izvēlēties augstas pieslēgvietas (32000+), jo 443 tiek skenēts biežāk, un atpazīt RDP šajā portā nav problēma.

b) Ir daži lietotājvārdi, kuriem uzbrucēji dod priekšroku
Var redzēt, ka meklēšana tiek veikta vārdnīcā ar dažādiem nosaukumiem.
Bet es pamanīju šādu: ievērojams skaits mēģinājumu izmanto servera nosaukumu kā pieteikšanos. Ieteikums: neizmantojiet vienu un to pašu nosaukumu datoram un lietotājam. Turklāt dažreiz šķiet, ka viņi mēģina kaut kā parsēt servera nosaukumu: piemēram, sistēmai ar nosaukumu DESKTOP-DFTHD7C visvairāk mēģinājumi pieteikties ir ar nosaukumu DFTHD7C:

Attiecīgi, ja jums ir DESKTOP-MARIA dators, jūs, iespējams, mēģināsit pieteikties kā MARIA lietotājs.

Vēl viena lieta, ko pamanīju no žurnāliem: lielākajā daļā sistēmu lielākā daļa mēģinājumu pieteikties ir ar nosaukumu “administrators”. Un tas nav bez iemesla, jo daudzās Windows versijās šis lietotājs pastāv. Turklāt to nevar izdzēst. Tas vienkāršo uzbrucēju uzdevumu: tā vietā, lai uzminētu vārdu un paroli, jums tikai jāuzmin parole.
Starp citu, sistēmai, kas noķēra izpirkuma programmu, bija lietotājs Administrators un parole Murmansk#9. Es joprojām neesmu pārliecināts, kā šī sistēma tika uzlauzta, jo es sāku uzraudzību tieši pēc šī incidenta, taču es domāju, ka pārspīlējums ir iespējams.
Tātad, ja administratora lietotāju nevar izdzēst, kas jums jādara? Jūs varat to pārdēvēt!

Ieteikumi no šīs rindkopas:

neizmantojiet lietotājvārdu datora nosaukumā
pārliecinieties, vai sistēmā nav administratora lietotāja
izmantojiet spēcīgas paroles

Tātad jau apmēram pāris gadus esmu vērojis, kā vairāki manā kontrolē esošie Windows serveri tiek rupji piespiesti, un bez panākumiem.

Kā es varu zināt, ka tas ir neveiksmīgs?
Jo augstāk redzamajos ekrānuzņēmumos var redzēt, ka ir veiksmīgu LAP zvanu žurnāli, kuros ir šāda informācija:

no kura IP
no kura datora (resursdatora nosaukums)
lietotājvārds
GeoIP informācija

Un es tur regulāri pārbaudu - nekādas anomālijas nav konstatētas.

Starp citu, ja noteikta IP tiek veikta īpaši smagi, varat bloķēt atsevišķus IP (vai apakštīklus), piemēram, programmā PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Starp citu, Elastic, papildus Winlogbeat, ir arī Auditbeat, kas var pārraudzīt failus un procesus sistēmā. Kibanā ir arī SIEM (Security Information & Event Management) lietojumprogramma. Es izmēģināju abus, bet neredzēju lielu labumu - šķiet, ka Auditbeat būs noderīgāks Linux sistēmām, un SIEM man vēl nav parādījis neko saprotamu.

Nu, pēdējie ieteikumi:

Regulāri veiciet automātiskas dublējumkopijas.
laicīgi instalējiet drošības atjauninājumus

Bonuss: saraksts ar 50 lietotājiem, kuri visbiežāk tika izmantoti LAP pieteikšanās mēģinājumiem

"user.name: dilstošā secībā"
Skaitīt

dfthd7c (resursdatora nosaukums)
842941

winsrv1 (resursdatora nosaukums)
266525

ADMINISTRATORS
180678

administrators
163842

administrators
53541

michael
23101

serveris
21983

steve
21936

john
21927

paul
21913

uztveršana
21909

slaistīties
21899

birojs
21888

skeneris
21887

meklēt
21867

david
21865

chris
21860

īpašnieks
21855

vadītājs
21852

administrateur
21841

brian
21839

administrators
21837

zīme
21824

personāls
21806

ADMINISTS
12748

ROOT
7772

ADMINISTRADORS
7325

ATBALSTS
5577

ATBALSTS
5418

LIETOTĀJA
4558

admin
2832

PĀRBAUDE
1928

mysql
1664

Admin
1652

VIESU
1322

LIETOTĀJS1
1179

SKANNERIS
1121

SCAN
1032

ADMINISTRATORS
842

ADMINISTORS1
525

BACKUP
518

MySqlAdmin
518

UZŅEMŠANA
490

LIETOTĀJS2
466

TEMP
452

SQLADMIN
450

LIETOTĀJS3
441

1
422

MANAGER
418

ĪPAŠNIEKS
410

Avots: www.habr.com

Vai ir bīstami uzturēt atvērtu LAP internetā?

Riski

Novērojumi un ieteikumi

Pievieno komentāru Atcelt atbildi