Matetika aho no namaky ny hevitra fa ny fitazonana seranan-tsambo RDP (Remote Desktop Protocol) misokatra amin'ny Internet dia tena tsy azo antoka ary tsy tokony hatao. Saingy mila manome fidirana amin'ny RDP ianao na amin'ny alΓ lan'ny VPN, na avy amin'ny adiresy IP "fotsy" sasany ihany.
Mitantana Windows Servers maromaro ho an'ny orinasa madinika izay nasaiko nanome fidirana lavitra amin'ny Windows Server ho an'ny kaonty. Izany no fironana maoderina - miasa ao an-trano. Vetivety dia tsapako fa asa tsy misy fisaorana ny fampijaliana ny kaonty VPN, ary tsy hahomby ny fanangonana ny IP rehetra ho an'ny lisitra fotsy, satria mavitrika ny adiresy IP an'ny olona.
Noho izany, naka ny lalana tsotra indrindra aho - nampita ny seranan-tsambo RDP ho any ivelany. Mba hahazoana fidirana dia mila mihazakazaka RDP izao ny kaonty ary ampidiro ny anaran'ny mpampiantrano (anisan'izany ny seranana), solon'anarana ary tenimiafina.
Amin'ity lahatsoratra ity dia hizara ny traikefako aho (tsara fa tsy dia tsara) sy ny soso-kevitra.
loza
Inona no atahoranao amin'ny fanokafana ny seranan-tsambo RDP?
1) Fidirana tsy nahazoana alalana amin'ny angona saro-pady
Raha misy maminavina ny tenimiafina RDP, dia ho afaka hahazo angon-drakitra tianao hotehirizina ho an'ny tena manokana izy ireo: sata kaonty, fifandanjana, angon-drakitra mpanjifa, ...
2) Data very
Ohatra, vokatry ny viriosy ransomware.
Na hetsika minia ataon'ny mpanafika.
3) Very ny toeram-piasana
Mila miasa ny mpiasa, saingy voahitsakitsaka ny rafitra ary mila averina / averina / amboarina.
4) Mandefitra ny tambajotra eo an-toerana
Raha manana solosaina Windows ny mpanafika iray, dia afaka miditra amin'ny rafitra tsy azo idirana avy any ivelany, avy amin'ny Internet izy avy amin'ity solosaina ity. Ohatra, amin'ny fametrahana fizarana, amin'ny mpanonta tambajotra, sns.
Nisy tranga iray nahazoan'ny Windows Server ransomware
ary ity ransomware ity dia nanangona voalohany ny ankamaroan'ny rakitra ao amin'ny C: drive ary avy eo dia nanomboka nanamboatra ny rakitra ao amin'ny NAS amin'ny tambajotra. Satria ny NAS dia Synology, miaraka amin'ny snapshots namboarina, dia namerina ny NAS tao anatin'ny 5 minitra aho, ary namerina nametraka Windows Server hatrany am-boalohany.
Fandinihana sy tolo-kevitra
Manara-maso Windows Servers aho mampiasa , izay mandefa logs amin'ny ElasticSearch. Manana sary an-tsary maromaro i Kibana, ary nanangana dashboard manokana ihany koa aho.
Ny fanaraha-maso ny tenany dia tsy miaro, fa manampy amin'ny famaritana ny fepetra ilaina.
Ireto misy fanamarihana vitsivitsy:
a) RDP dia ho terena.
Ao amin'ny iray amin'ireo mpizara dia nametraka RDP tsy tao amin'ny seranan-tsambo mahazatra 3389 aho, fa tamin'ny 443 - tsara, hanafina ny tenako ho HTTPS aho. Mendrika ny hanova ny seranan-tsambo amin'ny mahazatra, saingy tsy dia mahomby loatra izany. Ireto ny antontan'isa avy amin'ity mpizara ity:
Hita fa tao anatin'ny herinandro dia efa ho 400 ny andrana tsy nahomby tamin'ny fidirana amin'ny alΓ lan'ny RDP.
Hita fa nisy andrana niditra avy amin'ny adiresy IP 55 (efa nosakanako ny adiresy IP sasany).
Izany dia manondro mivantana ny fehin-kevitra fa mila mametraka fail2ban ianao, fa
Tsy misy fitaovana toy izany ho an'ny Windows.
Misy tetikasa roa nilaozana ao amin'ny Github izay toa manao izany, saingy tsy nanandrana nametraka azy ireo akory aho:
Misy ihany koa ny kojakoja karama, saingy tsy nodinihiko.
Raha fantatrao ny loharano misokatra ho an'ity tanjona ity dia zarao amin'ny fanehoan-kevitra.
Update: Ny fanehoan-kevitra dia nanoro hevitra fa ny port 443 dia safidy ratsy, ary tsara kokoa ny misafidy seranana avo (32000+), satria 443 no scanned matetika kokoa, ary tsy olana ny fahafantarana ny RDP amin'ity seranana ity.
b) Misy solonanarana tian'ny mpanafika
Hita fa ao anaty rakibolana misy anarana samy hafa no anaovana ny fikarohana.
Fa izao no tsikaritro: betsaka ny andrana mampiasa ny anaran'ny mpizara ho fidirana. Soso-kevitra: Aza mampiasa anarana mitovy amin'ny solosaina sy ny mpampiasa. Ankoatr'izay, indraindray dia toa manandrana manara-maso ny anaran'ny mpizara izy ireo: ohatra, ho an'ny rafitra misy ny anarana DESKTOP-DFTHD7C, ny ankamaroan'ny andrana hiditra dia amin'ny anarana DFTHD7C:
Araka izany, raha manana solosaina DESKTOP-MARIA ianao dia mety hiezaka hiditra ho mpampiasa MARIA ianao.
Zavatra iray hafa tsikaritro avy amin'ny logs: amin'ny ankamaroan'ny rafitra, ny ankamaroan'ny fanandramana hiditra dia miaraka amin'ny anarana hoe "mpitantana". Ary tsy misy antony izany, satria amin'ny dikan-Windows maro dia misy ity mpampiasa ity. Ankoatra izany, tsy azo fafana. Manamora ny asa ho an'ny mpanafika izany: fa tsy maminavina anarana sy tenimiafina, fa ny tenimiafina ihany no ilainao.
Raha ny marina, ny rafitra nahazo ny ransomware dia nanana ny mpampiasa Administrator sy ny tenimiafina Murmansk#9. Mbola tsy azoko antoka hoe ahoana no nisamborana an'io rafitra io, satria nanomboka nanara-maso aho taorian'io zava-nitranga io, saingy heveriko fa mety ho tafahoatra izany.
Ka raha tsy azo fafana ny mpampiasa Administrator dia inona no tokony hataonao? Azonao atao ny manova anarana!
Soso-kevitra avy amin'ity paragrafy ity:
- aza mampiasa ny solonanarana amin'ny anaran'ny solosaina
- Ataovy azo antoka fa tsy misy mpampiasa Administrator ao amin'ny rafitra
- mampiasa tenimiafina matanjaka
Noho izany, efa nijery Windows Servers teo ambany fahefako aho nandritra ny roa taona teo ho eo izao, ary tsy nahomby.
Ahoana no ahafantarako fa tsy nahomby izany?
Satria ao amin'ny pikantsary etsy ambony dia hitanao fa misy diarin'ny antso RDP mahomby, izay misy ny fampahalalana:
- avy amin'ny IP
- avy amin'ny solosaina (anarana mpampiantrano)
- Anaran'ny mpampiasa
- Fampahalalana GeoIP
Ary manara-maso tsy tapaka ao aho - tsy misy anomaliana hita.
Raha ny marina, raha terena mafy mafy ny IP iray manokana, dia azonao atao ny manakana ny IP tsirairay (na subnets) toy izao ao amin'ny PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockRaha ny marina, ny Elastic, ankoatry ny Winlogbeat, dia manana ihany koa , izay afaka manara-maso ny rakitra sy ny fizotran'ny rafitra. Misy ihany koa ny fampiharana SIEM (Security Information & Event Management) ao Kibana. Nanandrana izy roa aho, saingy tsy nahita tombony firy - toa ny Auditbeat dia ho ilaina kokoa amin'ny rafitra Linux, ary ny SIEM dia tsy mbola naneho ahy zavatra azo tsapain-tanana.
Eny, soso-kevitra farany:
- Manaova backup automatique tsy tapaka.
- mametraka Security Updates ara-potoana
Bonus: lisitry ny mpampiasa 50 izay matetika ampiasaina amin'ny fanandramana fidirana RDP
"user.name: Midina"
Count
dfthd7c (anaran'ny mpampiantrano)
842941
winsrv1 (anaran'ny mpampiantrano)
266525
mpandrindra
180678
mpandrindra
163842
Administrator
53541
Michael
23101
mpizara
21983
Steve
21936
Jaona
21927
Paoly
21913
fandraisana
21909
Mike
21899
birao
21888
scanner
21887
Notarafina
21867
David
21865
Chris
21860
Owner
21855
mpitantana
21852
mpandrindra
21841
Brian
21839
mpandrindra
21837
Marka
21824
mpiasa
21806
ADMIN
12748
MAMAKA
7772
mpandrindra
7325
MANAMPY
5577
MANAMPY
5418
USER
4558
Admin
2832
TEST
1928
MySQL
1664
Admin
1652
HIVAHINY
1322
USER1
1179
MANDIKA
1121
Notarafina
1032
mpandrindra
842
ADMIN1
525
nomaniny ho solon'izay
518
MySqlAdmin
518
FANDRAISANA
490
USER2
466
Temp
452
SQLADMIN
450
USER3
441
1
422
Mpitantana
418
TOMPON'NY
410
Source: www.habr.com