RDP (Remote Desktop Protocol) портыг интернетэд нээлттэй байлгах нь маш аюултай бөгөөд үүнийг хийх ёсгүй гэсэн бодлыг би олон удаа уншдаг. Гэхдээ та VPN-ээр эсвэл зөвхөн тодорхой "цагаан" IP хаягаар дамжуулан RDP-д хандах эрх өгөх хэрэгтэй.
Би нягтлан бодогчдод зориулж Windows Server-д алсаас нэвтрэх боломжийг олгох үүрэг хүлээсэн жижиг фирмүүдэд хэд хэдэн Windows серверийг удирддаг. Энэ бол орчин үеийн чиг хандлага юм - гэрээсээ ажиллах. VPN нягтлан бодогчдыг зовоох нь талархалгүй ажил гэдгийг би маш хурдан ойлгосон бөгөөд цагаан жагсаалтын бүх IP хаягийг цуглуулах нь ажиллахгүй, учир нь хүмүүсийн IP хаягууд динамик байдаг.
Тиймээс би хамгийн энгийн замыг сонгосон - RDP портыг гаднаас нь дамжуулсан. Нэвтрэхийн тулд нягтлан бодогчид RDP-г ажиллуулж, хостын нэр (портыг оруулаад), хэрэглэгчийн нэр, нууц үгээ оруулах шаардлагатай.
Энэ нийтлэлд би өөрийн туршлага (эерэг, тийм ч эерэг биш) болон зөвлөмжийг хуваалцах болно.
Эрсдэл
RDP портыг нээснээр та юу эрсдэлд оруулж байна вэ?
1) Нууц мэдээлэлд зөвшөөрөлгүй хандах
Хэрэв хэн нэгэн RDP нууц үгийг тааварлавал таны нууцлахыг хүссэн мэдээллийг авах боломжтой: дансны төлөв, үлдэгдэл, хэрэглэгчийн мэдээлэл, ...
2) Өгөгдлийн алдагдал
Жишээлбэл, ransomware вирусын үр дүнд.
Эсвэл халдагч этгээдийн санаатай үйлдэл.
3) Ажлын байраа алдах
Ажилчид ажиллах шаардлагатай боловч систем нь эвдэрсэн тул дахин суулгах/сэргээх/тохируулах шаардлагатай.
4) Дотоод сүлжээний эвдрэл
Хэрэв халдагч Windows үйлдлийн системтэй компьютерт нэвтэрсэн бол энэ компьютерээс гаднаас, интернетээс нэвтрэх боломжгүй системд нэвтрэх боломжтой болно. Жишээлбэл, файл хуваалцах, сүлжээний принтерүүд гэх мэт.
Надад Windows Server ransomware-г барьсан тохиолдол гарсан
Энэ ransomware нь эхлээд C: диск дээрх ихэнх файлуудыг шифрлээд дараа нь NAS дээрх файлуудыг сүлжээгээр шифрлэж эхэлсэн. NAS нь Synology байсан бөгөөд агшин зуурын тохиргоотой байсан тул би NAS-г 5 минутын дотор сэргээж, Windows Server-г эхнээс нь дахин суулгасан.
Ажиглалт ба зөвлөмж
Би Windows серверүүдийг ашиглан хянадаг , ElasticSearch руу лог илгээдэг. Кибана нь хэд хэдэн дүрслэлтэй бөгөөд би мөн тохируулсан хяналтын самбарыг тохируулсан.
Хяналт нь өөрөө хамгаалдаггүй, гэхдээ шаардлагатай арга хэмжээг тодорхойлоход тусалдаг.
Энд зарим ажиглалтууд байна:
a) RDP нь харгис хүчээр тулгарах болно.
Серверүүдийн аль нэгэнд би RDP-ийг стандарт порт 3389 дээр суулгаагүй, харин 443 дээр суулгасан - за, би HTTPS гэж өөрийгөө далдлах болно. Стандарт портоос портоо солих нь зүйтэй болов уу, гэхдээ энэ нь тийм ч сайн зүйл хийхгүй. Энэ серверийн статистикийг энд харуулав.
Долоо хоногийн дотор RDP-ээр нэвтрэх гэж бараг 400 амжилтгүй оролдлого хийсэн нь харагдаж байна.
Эндээс харахад 55 IP хаягаас нэвтрэх оролдлого (зарим IP хаягийг би аль хэдийн хаасан байсан).
Энэ нь та fail2ban-г тохируулах хэрэгтэй гэсэн дүгнэлтийг шууд харуулж байна, гэхдээ
Windows-д ийм хэрэгсэл байдаггүй.
Github дээр үүнийг хийж байгаа мэт орхигдсон хэд хэдэн төсөл байдаг, гэхдээ би тэдгээрийг суулгахыг оролдоогүй байна:
Төлбөртэй хэрэгслүүд байдаг, гэхдээ би тэдгээрийг авч үзээгүй.
Хэрэв та энэ зорилгоор нээлттэй эхийн хэрэгслийг мэддэг бол үүнийг сэтгэгдэл дээр хуваалцана уу.
шинэчлэх: 443-р портыг буруу сонголт гэж үзсэн бөгөөд өндөр портуудыг (32000+) сонгох нь дээр, учир нь 443-ыг илүү олон удаа сканнердах бөгөөд энэ порт дээрх RDP-г таних нь асуудал биш юм.
б) Халдагчид илүүд үздэг хэрэглэгчийн нэр байдаг
Янз бүрийн нэртэй толь бичигт хайлт хийж байгаа нь харагдаж байна.
Гэхдээ эндээс миний анзаарсан зүйл бол серверийн нэрийг нэвтрэлт болгон ашиглаж байгаа оролдлого нэлээд их байна. Зөвлөмж: Компьютер болон хэрэглэгчийн хувьд ижил нэрийг бүү ашигла. Түүгээр ч барахгүй заримдаа тэд серверийн нэрийг ямар нэгэн байдлаар задлан шинжлэхийг оролдож байгаа мэт харагддаг: жишээлбэл, DFTHD7C нэртэй DESKTOP-DFTHD7C нэртэй системд нэвтрэх оролдлого хамгийн их байдаг:
Үүний дагуу, хэрэв танд DESKTOP-MARIA компьютер байгаа бол та MARIA хэрэглэгчээр нэвтрэхийг оролдох байх.
Бүртгэлээс миний анзаарсан өөр нэг зүйл бол ихэнх системд нэвтрэх оролдлого нь "администратор" гэсэн нэртэй байдаг. Энэ нь шалтгаангүй биш, учир нь Windows-ийн олон хувилбарт энэ хэрэглэгч байдаг. Түүнээс гадна үүнийг устгах боломжгүй. Энэ нь халдагчдын даалгаврыг хөнгөвчлөх болно: нэр, нууц үгээ таахын оронд та зөвхөн нууц үгээ таах хэрэгтэй.
Дашрамд хэлэхэд, ransomware-г барьсан систем нь хэрэглэгчийн администратор болон Murmansk#9 нууц үгтэй байжээ. Би тэр системийг хэрхэн хакердсаныг мэдэхгүй байна, учир нь би тэр явдлын дараахан хяналт тавьж эхэлсэн ч хэтрүүлсэн байх магадлалтай гэж бодож байна.
Хэрэв администраторын хэрэглэгчийг устгах боломжгүй бол та юу хийх ёстой вэ? Та нэрийг нь өөрчилж болно!
Энэ догол мөр дэх зөвлөмжүүд:
- компьютерийн нэрэнд хэрэглэгчийн нэрийг бүү ашигла
- систем дээр администратор хэрэглэгч байхгүй эсэхийг шалгаарай
- хүчтэй нууц үг ашиглах
Тиймээс, би хэдэн жилийн турш өөрийн хяналтан дор байгаа хэд хэдэн Windows серверүүдийг харгис хэрцгий хүчээр шахаж байгааг ажиглаж, амжилтгүй болсон.
Энэ амжилтгүй гэдгийг би яаж мэдэх вэ?
Учир нь дээрх дэлгэцийн агшинд дараах мэдээллийг агуулсан амжилттай RDP дуудлагын бүртгэл байгааг харж болно.
- аль IP-ээс
- ямар компьютерээс (хостын нэр)
- Хэрэглэгчийн нэр
- GeoIP мэдээлэл
Би тэнд байнга шалгадаг - ямар ч гажиг илрээгүй.
Дашрамд хэлэхэд, хэрэв тодорхой IP-г хатуу хүчээр шахаж байгаа бол та PowerShell-д үүнтэй адил IP-г (эсвэл дэд сүлжээг) хааж болно:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockДашрамд хэлэхэд, Elastic нь Winlogbeat-ээс гадна бас байдаг , систем дээрх файлууд болон процессуудыг хянах боломжтой. Мөн Кибана хотод SIEM (Security Information & Event Management) програм байдаг. Би аль алиныг нь туршиж үзсэн боловч нэг их үр өгөөжөө олж хараагүй - Auditbeat нь Линукс системд илүү хэрэгтэй байх шиг байна, SIEM надад ойлгомжтой зүйл хараахан харуулаагүй байна.
За, эцсийн зөвлөмжүүд:
- Тогтмол автомат нөөцлөлт хийх.
- Аюулгүй байдлын шинэчлэлтүүдийг цаг тухайд нь суулгах
Бонус: RDP нэвтрэх оролдлогод хамгийн их ашиглагддаг 50 хэрэглэгчийн жагсаалт
"user.name: Бууж байна"
Count
dfthd7c (хостын нэр)
842941
winsrv1 (хостын нэр)
266525
АДМИНИСТРАТОР
180678
администратор
163842
Администратор
53541
Майкл
23101
сервер
21983
steve
21936
Жон
21927
Паул
21913
хүлээн авах
21909
Майк
21899
оффис
21888
сканер
21887
скан
21867
Дэвид
21865
Chris
21860
эзэн
21855
менежер
21852
администратор
21841
Брайан
21839
администратор
21837
тэмдэг
21824
ажилтан
21806
АДМИН
12748
Үндэс
7772
АДМИНИСТРАТОР
7325
SUPPORT
5577
Дэмжлэг
5418
USER
4558
админ
2832
Тест
1928
Мискл
1664
админ
1652
GUEST
1322
ХЭРЭГЛЭГЧ 1
1179
СКАНЕР
1121
СКАН
1032
АДМИНИСТРАТОР
842
АДМИН1
525
НӨХЦӨЛ
518
MySqlAdmin
518
Хүлээн авах
490
ХЭРЭГЛЭГЧ 2
466
СУРГАЛТ
452
SQLADMIN
450
ХЭРЭГЛЭГЧ 3
441
1
422
МЕНЕЖЕР
418
OWNER
410
Эх сурвалж: www.habr.com