ProHoster > blog > Amministrazzjoni > Huwa perikoluż li żżomm RDP miftuħa fuq l-Internet?

Huwa perikoluż li żżomm RDP miftuħa fuq l-Internet?

Ħafna drabi qrajt l-opinjoni li ż-żamma ta' port RDP (Remote Desktop Protocol) miftuħ għall-Internet hija perikoluża ħafna u m'għandhiex issir. Imma trid tagħti aċċess għal RDP jew permezz ta' VPN, jew biss minn ċerti indirizzi IP "abjad".

Jiena namministra diversi Windows Servers għal ditti żgħar fejn ġejt inkarigat li nipprovdi aċċess mill-bogħod għal Windows Server għall-accountants. Din hija t-tendenza moderna - taħdem mid-dar. Pjuttost malajr, indunajt li t-tormenting tal-accountants VPN huwa kompitu bla ħajr, u l-ġbir tal-IPs kollha għal-lista bajda mhux se jaħdem, minħabba li l-indirizzi IP tan-nies huma dinamiċi.

Għalhekk, ħadt l-aktar rotta sempliċi - bgħatt il-port RDP għal barra. Biex jiksbu aċċess, l-accountants issa jridu jmexxu RDP u jdaħħlu l-isem tal-host (inkluż il-port), l-isem tal-utent u l-password.

F'dan l-artikolu ser naqsam l-esperjenza tiegħi (pożittiva u mhux daqshekk pożittiva) u r-rakkomandazzjonijiet.

Riskji

X'qed tirriskja billi tiftaħ il-port RDP?

1) Aċċess mhux awtorizzat għal data sensittiva
Jekk xi ħadd jaħtaf il-password RDP, ikun jista' jikseb dejta li trid iżżomm privata: status tal-kont, bilanċi, dejta tal-klijenti, ...

2) Telf tad-dejta
Per eżempju, bħala riżultat ta 'virus ransomware.
Jew azzjoni intenzjonata minn attakkant.

3) Telf ta 'workstation
Il-ħaddiema jridu jaħdmu, iżda s-sistema hija kompromessa u jeħtieġ li terġa’ tiġi installata/rrestawrata/konfigurata.

4) Kompromess tan-netwerk lokali
Jekk attakkant ikun kiseb aċċess għal kompjuter Windows, allura minn dan il-kompjuter ikun jista 'jaċċessa sistemi li huma inaċċessibbli minn barra, mill-Internet. Pereżempju, għal fajls ta' ishma, għal printers tan-netwerk, eċċ.

Kelli każ fejn Windows Server qabad ransomware

u dan ir-ransomware l-ewwel ikkodifika l-biċċa l-kbira tal-fajls fuq is-sewqan C: u mbagħad beda jikkripta l-fajls fuq in-NAS fuq in-netwerk. Peress li l-NAS kien Synology, b'snapshots konfigurati, irrestawrajt in-NAS f'5 minuti, u reġa' installajt Windows Server mill-bidu.

Osservazzjonijiet u Rakkomandazzjonijiet

I jimmonitorja Windows Servers bl-użu Winlogbeat, li jibagħtu zkuk lil ElasticSearch. Kibana għandu diversi viżwalizzazzjonijiet, u jien ukoll waqqaft dashboard apposta.
Il-monitoraġġ innifsu ma jipproteġix, iżda jgħin biex jiddetermina l-miżuri meħtieġa.

Hawn huma xi osservazzjonijiet:
a) RDP se jkun brutale forced.
Fuq wieħed mis-servers, installajt RDP mhux fuq il-port standard 3389, iżda fuq 443 - ukoll, ser naħbi lili nnifsi bħala HTTPS. Probabbilment ta 'min ibiddel il-port minn dak standard, iżda mhux se jagħmel ħafna ġid. Hawn huma l-istatistika minn dan is-server:

Huwa perikoluż li żżomm RDP miftuħa fuq l-Internet?

Wieħed jista’ jara li f’ġimgħa kien hemm kważi 400 tentattiv bla suċċess biex tidħol permezz ta’ RDP.
Wieħed jista’ jara li kien hemm tentattivi biex tidħol minn 55 indirizz IP (xi indirizzi IP kienu diġà mblukkati minni).

Dan jissuġġerixxi direttament il-konklużjoni li għandek bżonn tissettja fail2ban, iżda

M'hemm l-ebda utilità bħal din għall-Windows.

Hemm ftit proġetti abbandunati fuq Github li jidhru li jagħmlu dan, imma lanqas ippruvajt ninstallahom:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Hemm ukoll utilitajiet imħallsa, imma ma kkunsidejthomx.

Jekk taf utilità open source għal dan il-għan, jekk jogħġbok aqsamha fil-kummenti.

Aġġornament: Il-kummenti ssuġġerew li l-port 443 huwa għażla ħażina, u huwa aħjar li tagħżel portijiet għoljin (32000+), minħabba li 443 huwa skannjat aktar spiss, u li tagħraf RDP fuq dan il-port mhix problema.

b) Hemm ċerti usernames li l-attakkanti jippreferu
Wieħed jista’ jara li t-tfittxija ssir f’dizzjunarju b’ismijiet differenti.
Imma hawn dak li ndunajt: numru sinifikanti ta' tentattivi qed jużaw l-isem tas-server bħala login. Rakkomandazzjoni: Tużax l-istess isem għall-kompjuter u l-utent. Barra minn hekk, xi drabi jidher li qed jippruvaw jparssjaw l-isem tas-server b'xi mod: pereżempju, għal sistema bl-isem DESKTOP-DFTHD7C, l-aktar tentattivi biex tidħol huma bl-isem DFTHD7C:

Huwa perikoluż li żżomm RDP miftuħa fuq l-Internet?

Għaldaqstant, jekk għandek kompjuter DESKTOP-MARIA, probabbilment tkun qed tipprova tidħol bħala l-utent MARIA.

Ħaġa oħra li nnotajt mir-zkuk: fuq il-biċċa l-kbira tas-sistemi, il-biċċa l-kbira tat-tentattivi biex tidħol huma bl-isem "amministratur". U dan mhux bla raġuni, għaliex f'ħafna verżjonijiet tal-Windows, dan l-utent jeżisti. Barra minn hekk, ma jistax jitħassar. Dan jissimplifika l-kompitu għall-attakkanti: minflok ma taqta’ isem u password, trid biss taqta’ l-password.
Mill-mod, is-sistema li qabdet ir-ransomware kellha l-utent Amministratur u l-password Murmansk#9. Għadni mhux ċert kif dik is-sistema ġiet hacked, għax bdejt nissorvelja eżatt wara dak l-inċident, imma naħseb li x'aktarx li l-eċċess.
Mela jekk l-utent Amministratur ma jistax jitħassar, allura x'għandek tagħmel? Tista' tibdel l-isem!

Rakkomandazzjonijiet minn dan il-paragrafu:

  • tużax l-isem tal-utent fl-isem tal-kompjuter
  • kun żgur li m'hemm l-ebda utent Amministratur fis-sistema
  • uża passwords b'saħħithom

Għalhekk, ilni nara diversi Windows Servers taħt il-kontroll tiegħi li qed jiġu sfurzati b'mod brutali għal madwar ftit snin issa, u mingħajr suċċess.

Kif inkun naf li ma rnexxiex?
Minħabba li fil-screenshots ta 'hawn fuq tista' tara li hemm zkuk ta 'sejħiet RDP ta' suċċess, li fihom l-informazzjoni:

  • minn liema IP
  • minn liema kompjuter (hostname)
  • Username
  • Informazzjoni GeoIP

U niċċekkja hemmhekk regolarment - ma nstabet l-ebda anomalija.

Mill-mod, jekk IP partikolari qed jiġi sfurzat b'mod brutali partikolarment diffiċli, allura tista' timblokka IPs individwali (jew subnets) bħal dan f'PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Mill-mod, Elastic, minbarra Winlogbeat, għandu wkoll Auditbeat, li jistgħu jimmonitorjaw fajls u proċessi fis-sistema. Hemm ukoll applikazzjoni SIEM (Informazzjoni tas-Sigurtà u Ġestjoni tal-Avvenimenti) f'Kibana. Ippruvajt it-tnejn, iżda ma rajtx ħafna benefiċċju - jidher li Auditbeat se jkun aktar utli għas-sistemi Linux, u SIEM għadha ma wrietni xejn intelliġibbli.

Ukoll, rakkomandazzjonijiet finali:

  • Agħmel backups awtomatiċi regolari.
  • tinstalla Aġġornamenti tas-Sigurtà fil-ħin

Bonus: lista ta' 50 utent li l-aktar spiss intużaw għal tentattivi ta' login RDP

"user.name: Dixxendenti"
Count

dfthd7c (isem tal-host)
842941

winsrv1 (isem tal-host)
266525

AMMINISTRATUR
180678

amministratur
163842

amministratur
53541

michael
23101

servers
21983

Steve
21936

john
21927

paul
21913

akkoljenza
21909

mike
21899

uffiċċju
21888

iskaner
21887

scan
21867

david
21865

chris
21860

sid
21855

maniġer
21852

administrateur
21841

brian
21839

amministratur
21837

jimmarkaw
21824

persunal
21806

ADMIN
12748

GĦERUQ
7772

AMMINISTRATUR
7325

APPOĠĠ
5577

MEDJU
5418

UTENT
4558

admin
2832

TEST
1928

mysql
1664

admin
1652

MISTieden
1322

UTENT 1
1179

SKANNER
1121

SCAN
1032

AMMINISTRATUR
842

ADMIN1
525

BACKUP
518

MySqlAdmin
518

RIĊEVIMENT
490

UTENT 2
466

TEMP
452

SQLADMIN
450

UTENT 3
441

1
422

MANAGER
418

SID
410

Sors: www.habr.com

Żid kumment