Дали е опасно да се задржи RDP отворен на интернет?

Често го читав мислењето дека одржувањето на RDP (Remote Desktop Protocol) порта отворена на Интернет е многу небезбедно и не треба да се прави. Но, треба да дадете пристап до RDP или преку VPN, или само од одредени „бели“ IP адреси.

Администрирам неколку Windows сервери за мали фирми каде што имам задача да обезбедам далечински пристап до Windows Server за сметководители. Ова е модерен тренд - работа од дома. Доста брзо, сфатив дека мачењето на сметководителите на VPN е неблагодарна задача и собирањето на сите IP-адреси за белата листа нема да работи, бидејќи IP-адресите на луѓето се динамични.

Затоа, го зедов наједноставниот пат - ја препратив портата RDP кон надвор. За да добијат пристап, сметководителите сега треба да извршат RDP и да го внесат името на домаќинот (вклучувајќи ја и портата), корисничкото име и лозинката.

Во оваа статија ќе го споделам моето искуство (позитивно и не толку позитивно) и препораки.

Ризици

Што ризикувате со отворање на RDP-портата?

1) Неовластен пристап до чувствителни податоци
Ако некој ја погоди лозинката за RDP, ќе може да добие податоци што сакате да ги зачувате приватни: статус на сметка, салда, податоци за клиентите, ...

2) Губење на податоци
На пример, како резултат на вирус за откуп.
Или намерна акција од напаѓач.

3) Губење на работната станица
Работниците треба да работат, но системот е компромитиран и треба повторно да се инсталира/реставрира/конфигурира.

4) Компромис на локалната мрежа
Ако напаѓачот добил пристап до компјутер со Windows, тогаш од овој компјутер ќе може да пристапи до системи кои се недостапни однадвор, од Интернет. На пример, за споделување датотеки, за мрежни печатачи итн.

Имав случај кога Windows Server фати откуп

и овој откупен софтвер најпрво ги шифрираше повеќето датотеки на уредот C:, а потоа почна да ги шифрира датотеките на NAS преку мрежата. Бидејќи NAS беше Synology, со конфигурирани снимки, го вратив NAS за 5 минути и повторно го инсталирав Windows Server од нула.

Согледувања и препораки

Ги надгледувам серверите на Windows користејќи Winlogbeat, кои испраќаат логови до ElasticSearch. Кибана има неколку визуелизации, а јас поставив и сопствена контролна табла.
Самото мониторирање не заштитува, но помага да се утврдат потребните мерки.

Еве неколку набљудувања:
а) RDP ќе биде брутално принуден.
На еден од серверите, инсталирав RDP не на стандардната порта 3389, туку на 443 - добро, ќе се маскирам како HTTPS. Веројатно вреди да се смени портата од стандардната, но нема да има многу добро. Еве ја статистиката од овој сервер:

Се гледа дека за една недела имало речиси 400 неуспешни обиди за логирање преку RDP.
Се гледа дека имало обиди за логирање од 55 IP адреса (некои IP адреси веќе беа блокирани од мене).

Ова директно укажува на заклучокот дека треба да поставите fail2ban, но

Не постои таква алатка за Windows.

Има неколку напуштени проекти на Github кои се чини дека го прават ова, но јас дури и не се обидов да ги инсталирам:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Има и платени комунални услуги, но не ги разгледав.

Ако знаете алатка со отворен код за оваа намена, ве молиме споделете ја во коментарите.

Ажурирање: Коментарите сугерираа дека портата 443 е лош избор и подобро е да се изберат високи порти (32000+), бидејќи 443 се скенира почесто, а препознавањето на RDP на оваа порта не е проблем.

Ажурирате: Коментарите сугерираат дека постои таква алатка:
https://github.com/digitalruby/ipban

б) Постојат одредени кориснички имиња кои напаѓачите ги претпочитаат
Се гледа дека пребарувањето се врши во речник со различни имиња.
Но, еве што забележав: значителен број обиди го користат името на серверот како најава. Препорака: Не користете исто име за компјутерот и корисникот. Покрај тоа, понекогаш изгледа како да се обидуваат некако да го анализираат името на серверот: на пример, за систем со име DESKTOP-DFTHD7C, најмногу обиди да се најавите се со името DFTHD7C:

Според тоа, ако имате DESKTOP-MARIA компјутер, веројатно ќе се обидувате да се најавите како корисник MARIA.

Друга работа што забележав од дневниците: на повеќето системи, повеќето обиди за најавување се со името „администратор“. И ова не е без причина, бидејќи во многу верзии на Windows, овој корисник постои. Покрај тоа, не може да се избрише. Ова ја поедноставува задачата за напаѓачите: наместо да погодувате име и лозинка, треба само да ја погодите лозинката.
Патем, системот што го фати откупниот софтвер ги имаше корисникот Администратор и лозинката Murmansk#9. Сè уште не сум сигурен како тој систем беше хакиран, затоа што почнав да набљудувам веднаш по тој инцидент, но мислам дека тоа е претерано веројатно.
Значи, ако корисникот Администратор не може да се избрише, тогаш што треба да направите? Можете да го преименувате!

Препораки од овој став:

• не користете го корисничкото име во името на компјутерот
• проверете дали нема администраторски корисник на системот
• користете силни лозинки

Така, гледам неколку сервери на Виндоус под моја контрола како се брутално принудени веќе околу неколку години, и тоа без успех.

Како да знам дека е неуспешно?
Бидејќи на сликите од екранот погоре можете да видите дека има дневници на успешни повици RDP, кои ги содржат информациите:

• од која IP
• од кој компјутер (име на домаќин)
• корисничко име
• ГеоИП информации

И таму редовно проверувам - не се најдени никакви аномалии.

Патем, ако одредена IP адреса е особено тешко присилена, тогаш можете да блокирате поединечни IP-адреси (или подмрежи) како ова во PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Инаку, Еластик покрај Винлогбит има и Аудито ритам, кој може да ги следи датотеките и процесите на системот. Во Кибана има и SIEM (Security Information & Event Management) апликација. Ги пробав и двете, но не видов голема корист - се чини дека Auditbeat ќе биде покорисен за Linux системите, а SIEM сè уште не ми покажа ништо разбирливо.

Па, конечни препораки:

• Правете редовни автоматски резервни копии.
• инсталирајте ги безбедносните ажурирања навремено

Бонус: список од 50 корисници кои најчесто биле користени за обиди за најава на RDP

"user.name: опаѓачки"
Брои

dfthd7c (име на домаќин)
842941

winsrv1 (име на домаќин)
266525

АДМИНИСТРАТОР
180678

администратор
163842

администратор
53541

Мајкл
23101

сервер
21983

Стив
21936

Јован
21927

Пол
21913

прием
21909

Мајк
21899

канцеларија
21888

скенер
21887

скенирање
21867

Дејвид
21865

Крис
21860

сопственикот
21855

менаџер
21852

administrateur
21841

Брајан
21839

администратор
21837

одбележи
21824

персонал
21806

ADMIN
12748

ROOT
7772

АДМИНИСТРАТОР
7325

ПОДДРШКА
5577

ПОДДРШКА
5418

КОРИСНИК
4558

admin
2832

ТЕСТ
1928

mysql
1664

admin
1652

Гостин
1322

КОРИСНИК1
1179

СКАНЕР
1121

НКХЖ
1032

АДМИНИСТРАТОР
842

АДМИН1
525

BACKUP
518

MySqlAdmin
518

РЕЦЕПЦИЈА
490

КОРИСНИК2
466

TEMP
452

SQLADMIN
450

КОРИСНИК3
441

1
422

УПРАВУВАЕ
418

СОПСТВЕНИК
410

Извор: www.habr.com