Често го читав мислењето дека одржувањето на RDP (Remote Desktop Protocol) порта отворена на Интернет е многу небезбедно и не треба да се прави. Но, треба да дадете пристап до RDP или преку VPN, или само од одредени „бели“ IP адреси.
Администрирам неколку Windows сервери за мали фирми каде што имам задача да обезбедам далечински пристап до Windows Server за сметководители. Ова е модерен тренд - работа од дома. Доста брзо, сфатив дека мачењето на сметководителите на VPN е неблагодарна задача и собирањето на сите IP-адреси за белата листа нема да работи, бидејќи IP-адресите на луѓето се динамични.
Затоа, го зедов наједноставниот пат - ја препратив портата RDP кон надвор. За да добијат пристап, сметководителите сега треба да извршат RDP и да го внесат името на домаќинот (вклучувајќи ја и портата), корисничкото име и лозинката.
Во оваа статија ќе го споделам моето искуство (позитивно и не толку позитивно) и препораки.
Ризици
Што ризикувате со отворање на RDP-портата?
1) Неовластен пристап до чувствителни податоци
Ако некој ја погоди лозинката за RDP, ќе може да добие податоци што сакате да ги зачувате приватни: статус на сметка, салда, податоци за клиентите, ...
2) Губење на податоци
На пример, како резултат на вирус за откуп.
Или намерна акција од напаѓач.
3) Губење на работната станица
Работниците треба да работат, но системот е компромитиран и треба повторно да се инсталира/реставрира/конфигурира.
4) Компромис на локалната мрежа
Ако напаѓачот добил пристап до компјутер со Windows, тогаш од овој компјутер ќе може да пристапи до системи кои се недостапни однадвор, од Интернет. На пример, за споделување датотеки, за мрежни печатачи итн.
Имав случај кога Windows Server фати откуп
и овој откупен софтвер најпрво ги шифрираше повеќето датотеки на уредот C:, а потоа почна да ги шифрира датотеките на NAS преку мрежата. Бидејќи NAS беше Synology, со конфигурирани снимки, го вратив NAS за 5 минути и повторно го инсталирав Windows Server од нула.
Согледувања и препораки
Ги надгледувам серверите на Windows користејќи , кои испраќаат логови до ElasticSearch. Кибана има неколку визуелизации, а јас поставив и сопствена контролна табла.
Самото мониторирање не заштитува, но помага да се утврдат потребните мерки.
Еве неколку набљудувања:
а) RDP ќе биде брутално принуден.
На еден од серверите, инсталирав RDP не на стандардната порта 3389, туку на 443 - добро, ќе се маскирам како HTTPS. Веројатно вреди да се смени портата од стандардната, но нема да има многу добро. Еве ја статистиката од овој сервер:
Се гледа дека за една недела имало речиси 400 неуспешни обиди за логирање преку RDP.
Се гледа дека имало обиди за логирање од 55 IP адреса (некои IP адреси веќе беа блокирани од мене).
Ова директно укажува на заклучокот дека треба да поставите fail2ban, но
Не постои таква алатка за Windows.
Има неколку напуштени проекти на Github кои се чини дека го прават ова, но јас дури и не се обидов да ги инсталирам:
Има и платени комунални услуги, но не ги разгледав.
Ако знаете алатка со отворен код за оваа намена, ве молиме споделете ја во коментарите.
Ажурирање: Коментарите сугерираа дека портата 443 е лош избор и подобро е да се изберат високи порти (32000+), бидејќи 443 се скенира почесто, а препознавањето на RDP на оваа порта не е проблем.
б) Постојат одредени кориснички имиња кои напаѓачите ги претпочитаат
Се гледа дека пребарувањето се врши во речник со различни имиња.
Но, еве што забележав: значителен број обиди го користат името на серверот како најава. Препорака: Не користете исто име за компјутерот и корисникот. Покрај тоа, понекогаш изгледа како да се обидуваат некако да го анализираат името на серверот: на пример, за систем со име DESKTOP-DFTHD7C, најмногу обиди да се најавите се со името DFTHD7C:
Според тоа, ако имате DESKTOP-MARIA компјутер, веројатно ќе се обидувате да се најавите како корисник MARIA.
Друга работа што забележав од дневниците: на повеќето системи, повеќето обиди за најавување се со името „администратор“. И ова не е без причина, бидејќи во многу верзии на Windows, овој корисник постои. Покрај тоа, не може да се избрише. Ова ја поедноставува задачата за напаѓачите: наместо да погодувате име и лозинка, треба само да ја погодите лозинката.
Патем, системот што го фати откупниот софтвер ги имаше корисникот Администратор и лозинката Murmansk#9. Сè уште не сум сигурен како тој систем беше хакиран, затоа што почнав да набљудувам веднаш по тој инцидент, но мислам дека тоа е претерано веројатно.
Значи, ако корисникот Администратор не може да се избрише, тогаш што треба да направите? Можете да го преименувате!
Препораки од овој став:
- не користете го корисничкото име во името на компјутерот
- проверете дали нема администраторски корисник на системот
- користете силни лозинки
Така, гледам неколку сервери на Виндоус под моја контрола како се брутално принудени веќе околу неколку години, и тоа без успех.
Како да знам дека е неуспешно?
Бидејќи на сликите од екранот погоре можете да видите дека има дневници на успешни повици RDP, кои ги содржат информациите:
- од која IP
- од кој компјутер (име на домаќин)
- корисничко име
- ГеоИП информации
И таму редовно проверувам - не се најдени никакви аномалии.
Патем, ако одредена IP адреса е особено тешко присилена, тогаш можете да блокирате поединечни IP-адреси (или подмрежи) како ова во PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockИнаку, Еластик покрај Винлогбит има и , кој може да ги следи датотеките и процесите на системот. Во Кибана има и SIEM (Security Information & Event Management) апликација. Ги пробав и двете, но не видов голема корист - се чини дека Auditbeat ќе биде покорисен за Linux системите, а SIEM сè уште не ми покажа ништо разбирливо.
Па, конечни препораки:
- Правете редовни автоматски резервни копии.
- инсталирајте ги безбедносните ажурирања навремено
Бонус: список од 50 корисници кои најчесто биле користени за обиди за најава на RDP
"user.name: опаѓачки"
Брои
dfthd7c (име на домаќин)
842941
winsrv1 (име на домаќин)
266525
АДМИНИСТРАТОР
180678
администратор
163842
администратор
53541
Мајкл
23101
сервер
21983
Стив
21936
Јован
21927
Пол
21913
прием
21909
Мајк
21899
канцеларија
21888
скенер
21887
скенирање
21867
Дејвид
21865
Крис
21860
сопственикот
21855
менаџер
21852
administrateur
21841
Брајан
21839
администратор
21837
одбележи
21824
персонал
21806
ADMIN
12748
ROOT
7772
АДМИНИСТРАТОР
7325
ПОДДРШКА
5577
ПОДДРШКА
5418
КОРИСНИК
4558
admin
2832
ТЕСТ
1928
mysql
1664
admin
1652
Гостин
1322
КОРИСНИК1
1179
СКАНЕР
1121
НКХЖ
1032
АДМИНИСТРАТОР
842
АДМИН1
525
BACKUP
518
MySqlAdmin
518
РЕЦЕПЦИЈА
490
КОРИСНИК2
466
TEMP
452
SQLADMIN
450
КОРИСНИК3
441
1
422
УПРАВУВАЕ
418
СОПСТВЕНИК
410
Извор: www.habr.com