RDP ကို ​​အင်တာနက်ပေါ်တွင် ဖွင့်ထားရန် အန္တရာယ်ရှိပါသလား။

အင်တာနက်သို့ဖွင့်ထားသည့် RDP (Remote Desktop Protocol) port ကိုထားရှိခြင်းသည် အလွန်အန္တရာယ်ကင်းပြီး မလုပ်သင့်ဟု ကျွန်ုပ်မကြာခဏဖတ်ဖူးသည်။ သို့သော် သင်သည် RDP ကို ​​VPN မှတဆင့်ဖြစ်စေ သို့မဟုတ် အချို့သော “အဖြူရောင်” IP လိပ်စာများမှသာလျှင် ဝင်ရောက်ခွင့်ပေးရန် လိုအပ်သည်။

စာရင်းကိုင်များအတွက် Windows Server ကို အဝေးမှဝင်ရောက်ခွင့် ပေးဆောင်ရန် တာဝန်ပေးထားသော လုပ်ငန်းငယ်များအတွက် Windows Server အများအပြားကို ကျွန်ုပ် စီမံခန့်ခွဲပါသည်။ ဤသည်မှာ အိမ်မှအလုပ်လုပ်သော ခေတ်မီလမ်းကြောင်းဖြစ်သည်။ VPN စာရင်းကိုင်များကို ညှဉ်းပန်းနှိပ်စက်ခြင်းသည် ကျေးဇူးမကင်းသော အလုပ်ဖြစ်သည်၊ လူများ၏ IP လိပ်စာများသည် တက်ကြွနေသောကြောင့် အဖြူစာရင်းအတွက် IP အားလုံးကို စုဆောင်းခြင်းမှာ အလုပ်မဖြစ်ကြောင်း မြန်မြန်သဘောပေါက်ပါသည်။

ထို့ကြောင့်၊ ကျွန်ုပ်သည် အရိုးရှင်းဆုံးလမ်းကြောင်းကိုယူ၍ RDP port ကို ပြင်ပသို့ ထပ်ဆင့်ပို့သည်။ ဝင်ရောက်ခွင့်ရရန်၊ စာရင်းကိုင်များသည် ယခု RDP ကိုဖွင့်ပြီး လက်ခံရန်အမည် (ဆိပ်ကမ်းအပါအဝင်) အသုံးပြုသူအမည်နှင့် စကားဝှက်တို့ကို ရိုက်ထည့်ရန် လိုအပ်သည်။

ဤဆောင်းပါးတွင် ကျွန်ုပ်၏ အတွေ့အကြုံ (အပြုသဘောနှင့် အပြုသဘောမဟုတ်) နှင့် အကြံပြုချက်များကို မျှဝေပါမည်။

အန္တရာယ်များ

RDP port ကိုဖွင့်ခြင်းဖြင့်သင်ဘာကိုအန္တရာယ်ဖြစ်စေသနည်း။

1) ထိလွယ်ရှလွယ် ဒေတာကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်
တစ်စုံတစ်ဦးသည် RDP စကားဝှက်ကို ခန့်မှန်းပါက၊ ၎င်းတို့သည် သင်သီးသန့်ထားလိုသော ဒေတာကို ရရှိနိုင်လိမ့်မည်- အကောင့်အခြေအနေ၊ လက်ကျန်ငွေများ၊ ဖောက်သည်ဒေတာ၊ ...

2) Data ဆုံးရှုံးခြင်း။
ဥပမာအားဖြင့်၊ ransomware ဗိုင်းရပ်စ်ကြောင့်။
သို့မဟုတ် တိုက်ခိုက်သူ၏ တမင်သက်သက် လုပ်ဆောင်မှု။

3) workstation ဆုံးရှုံးခြင်း။
အလုပ်သမားများ အလုပ်လုပ်ရန် လိုအပ်သော်လည်း စနစ်သည် အန္တရာယ်ရှိပြီး ပြန်လည်ထည့်သွင်းရန်/ပြန်လည်ပြင်ဆင်ရန်/ပြင်ဆင်ထားရန် လိုအပ်ပါသည်။

4) ဒေသတွင်းကွန်ရက်၏အပေးအယူ
အကယ်၍ တိုက်ခိုက်သူသည် Windows ကွန်ပြူတာသို့ ဝင်ရောက်ခွင့် ရရှိပါက၊ ၎င်းကွန်ပျူတာမှ ပြင်ပမှ ဝင်ရောက်၍ မရနိုင်သော စနစ်များကို အင်တာနက်မှ ဝင်ရောက်နိုင်မည်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ မျှဝေမှုများကို ဖိုင်တင်ရန်၊ ကွန်ရက်ပရင်တာများ စသည်ဖြင့်၊

Windows Server က ransomware ကိုဖမ်းမိတဲ့ကိစ္စတစ်ခုရှိခဲ့ပါတယ်။

ဤ ransomware သည် C: drive ပေါ်ရှိ ဖိုင်အများစုကို ဦးစွာ ကုဒ်ဝှက်ထားပြီး NAS ပေါ်ရှိ ဖိုင်များကို ကွန်ရက်ပေါ်တွင် စာဝှက်ခြင်း စတင်ခဲ့သည်။ NAS သည် Synology ဖြစ်သောကြောင့်၊ လျှပ်တစ်ပြက်ပုံများကို configured ဖြင့်၊ ကျွန်ုပ်သည် NAS ကို 5 မိနစ်အတွင်းပြန်လည်ရယူပြီး Windows Server ကို အစမှပြန်လည်ထည့်သွင်းခဲ့သည်။

လေ့လာတွေ့ရှိချက်များနှင့် အကြံပြုချက်များ

ကျွန်ုပ်သည် Windows Server များကို အသုံးပြု၍ စောင့်ကြည့်ပါသည်။ WinlogbeatElasticSearch သို့ မှတ်တမ်းများ ပေးပို့သည်။ Kibana တွင် စိတ်ကူးပုံဖော်မှုများ များစွာရှိပြီး ကျွန်ုပ်သည် စိတ်ကြိုက် ဒက်ရှ်ဘုတ်တစ်ခုကိုလည်း ထည့်သွင်းထားပါသည်။
စောင့်ကြည့်ခြင်းကိုယ်တိုင်က မကာကွယ်နိုင်သော်လည်း လိုအပ်သောအစီအမံများကို ဆုံးဖြတ်ပေးသည်။

ဤသည်မှာ သတိပြုစရာအချို့ဖြစ်သည်။
က) RDP သည် ရက်စက်ကြမ်းကြုတ်စွာ ခိုင်းစေခြင်းခံရလိမ့်မည်။
ဆာဗာများထဲမှတစ်ခုတွင်၊ RDP ကို ​​စံ port 3389 တွင်မထည့်သွင်းဘဲ 443 တွင်၊ ကျွန်ုပ်သည် HTTPS အဖြစ် အသွင်ပြောင်းပါမည်။ ၎င်းသည် စံနှုန်းတစ်ခုမှ ဆိပ်ကမ်းကို ပြောင်းရကျိုးနပ်ဖွယ်ရှိသော်လည်း ၎င်းသည် များစွာကောင်းမွန်မည်မဟုတ်ပါ။ ဤသည်မှာ ဤဆာဗာမှ စာရင်းအင်းများဖြစ်သည်-

တစ်ပတ်အတွင်း RDP မှတစ်ဆင့် ဝင်ရောက်ရန် ကြိုးပမ်းမှု 400 နီးပါး မအောင်မြင်ခဲ့ကြောင်း တွေ့မြင်နိုင်သည်။
55 IP လိပ်စာများမှ ဝင်ရောက်ရန် ကြိုးပမ်းမှုများ ရှိခဲ့သည် (အချို့သော IP လိပ်စာများကို ကျွန်ုပ်က ပိတ်ဆို့ထားပြီးဖြစ်သည်)။

၎င်းသည် သင်သည် fail2ban သတ်မှတ်ရန် လိုအပ်ကြောင်း နိဂုံးချုပ်ချက်ကို တိုက်ရိုက် ညွှန်ပြနေသော်လည်း၊

Windows အတွက် ထိုကဲ့သို့သော အသုံးဝင်မှု မရှိပါ။

Github တွင် ဤကဲ့သို့လုပ်ဆောင်ပုံပေါ်သော စွန့်ပစ်ထားသော ပရောဂျက်အချို့ရှိသော်လည်း ၎င်းတို့ကို ထည့်သွင်းရန် ကျွန်ုပ်ပင် မကြိုးစားခဲ့ပါ။
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

အခကြေးငွေပေးရသည့် အသုံးဝင်မှုများလည်း ရှိသော်လည်း ၎င်းတို့ကို ကျွန်ုပ် ထည့်သွင်းစဉ်းစား၍မရပါ။

ဤရည်ရွယ်ချက်အတွက် open source utility ကိုသင်သိပါက၎င်းကိုမှတ်ချက်များတွင်မျှဝေပါ။

Update ကို: port 443 သည် ဆိုးရွားသောရွေးချယ်မှုဖြစ်သည်ဟု မှတ်ချက်များက အကြံပြုထားပြီး 32000 ကို မကြာခဏစကင်န်ဖတ်ပြီး ဤပို့တ်ရှိ RDP ကို ​​အသိအမှတ်ပြုခြင်းသည် ပြဿနာမဟုတ်ပါ။

ခ) တိုက်ခိုက်သူများ နှစ်သက်သော အချို့သော သုံးစွဲသူအမည်များ ရှိပါသည်။
ရှာဖွေမှုကို အမျိုးမျိုးသောအမည်များဖြင့် အဘိဓာန်တွင် ပြုလုပ်သည်ကို တွေ့မြင်နိုင်သည်။
သို့သော် ဤနေရာတွင် ကျွန်ုပ်သတိပြုမိသည်- များစွာသောကြိုးစားမှုများစွာသည် ဆာဗာအမည်ကို လော့ဂ်အင်အဖြစ် အသုံးပြုပါသည်။ အကြံပြုချက်- ကွန်ပျူတာနှင့် အသုံးပြုသူအတွက် တူညီသောအမည်ကို မသုံးပါနှင့်။ ထို့အပြင်၊ တစ်ခါတစ်ရံတွင် ၎င်းတို့သည် ဆာဗာအမည်ကို တစ်နည်းနည်းဖြင့် ခွဲခြမ်းစိပ်ဖြာရန် ကြိုးစားနေပုံပေါ်သည်- ဥပမာ၊ DESKTOP-DFTHD7C အမည်ရှိသော စနစ်အတွက်၊ ဝင်ရောက်ရန် ကြိုးပမ်းမှု အများဆုံးမှာ DFTHD7C အမည်ဖြင့် ဖြစ်သည်-

ထို့ကြောင့်၊ သင့်တွင် DESKTOP-MARIA ကွန်ပျူတာတစ်လုံးရှိပါက၊ သင်သည် MARIA အသုံးပြုသူအဖြစ် လော့ဂ်အင်ဝင်ရန် ကြိုးစားနေပေလိမ့်မည်။

မှတ်တမ်းများမှ သတိပြုမိသော နောက်တစ်ချက်- စနစ်အများစုတွင်၊ လော့ဂ်အင်ဝင်ရန် ကြိုးပမ်းမှု အများစုမှာ "စီမံခန့်ခွဲသူ" အမည်ဖြင့် ဖြစ်သည်။ ၎င်းသည် အကြောင်းပြချက်မရှိဘဲမဟုတ်ပါ၊ Windows ဗားရှင်းများစွာတွင် ဤအသုံးပြုသူရှိနေသောကြောင့်ဖြစ်သည်။ ထို့အပြင်၎င်းကိုဖျက်၍မရပါ။ ၎င်းသည် တိုက်ခိုက်သူများအတွက် လုပ်ဆောင်စရာကို ရိုးရှင်းစေသည်- အမည်နှင့် စကားဝှက်ကို ခန့်မှန်းမည့်အစား၊ သင်သည် စကားဝှက်ကို ခန့်မှန်းရန်သာ လိုအပ်သည်။
စကားမစပ်၊ ransomware ကိုဖမ်းမိသောစနစ်တွင်အသုံးပြုသူစီမံခန့်ခွဲသူနှင့်စကားဝှက် Murmansk #9 ရှိသည်။ ဒီစနစ်ကို ဘယ်လို hack ခံရလဲဆိုတာတော့ ကျွန်တော် မသိရသေးပါဘူး၊ ဘာကြောင့်လဲ ဆိုတော့ အဲဒီ အဖြစ်အပျက်အပြီးမှာ စတင် စောင့်ကြည့်နေပေမယ့် လွန်လွန်ကဲကဲ ဖြစ်နိုင်တယ်လို့ ကျွန်တော် ထင်ပါတယ်။
ဒါဆို Administrator အသုံးပြုသူကို ဖျက်လို့မရရင် ဘာလုပ်သင့်လဲ။ အမည်ပြောင်းနိုင်ပါသည်။

ဤစာပိုဒ်မှ အကြံပြုချက်များ-

• ကွန်ပျူတာအမည်တွင် အသုံးပြုသူအမည်ကို မသုံးပါနှင့်
• စနစ်တွင် စီမံခန့်ခွဲသူအသုံးပြုသူ မရှိကြောင်း သေချာပါစေ။
• ခိုင်မာသော စကားဝှက်များကို အသုံးပြုပါ။

ထို့ကြောင့်၊ ကျွန်ုပ်သည် ကျွန်ုပ်၏ထိန်းချုပ်မှုအောက်တွင် ရက်စက်ကြမ်းကြုတ်စွာ အတင်းအကြပ်အတင်းအကြပ်ခံနေရသော Windows Server အများအပြားကို ကြည့်ရှုခဲ့သည်မှာ နှစ်နှစ်ခန့်ရှိပြီဖြစ်ပြီး မအောင်မြင်ခဲ့ပါ။

မအောင်မြင်ဘူးဆိုတာ ဘယ်လိုသိနိုင်မလဲ။
အထက်ဖော်ပြပါ ဖန်သားပြင်ဓာတ်ပုံများတွင် အချက်အလက်ပါဝင်သည့် အောင်မြင်သော RDP ခေါ်ဆိုမှုမှတ်တမ်းများ ပါရှိသည်ကို သင်တွေ့နိုင်သောကြောင့်ဖြစ်သည်-

• ဘယ် IP မှ
• မည်သည့်ကွန်ပျူတာမှ (အိမ်ရှင်အမည်)
• အသုံးပြုသူအမည်
• GeoIP အချက်အလက်

ပြီးတော့ ကျွန်တော် အဲဒီနေရာကို ပုံမှန်စစ်ဆေးတယ် - ကွဲလွဲချက်တွေ မတွေ့ဘူး။

စကားမစပ်၊ အထူးသဖြင့် IP တစ်ခုခုကို ကြမ်းတမ်းစွာ အတင်းအကြပ်ခိုင်းစေပါက၊ PowerShell တွင် ဤကဲ့သို့သော IP တစ်ခုချင်းစီ (သို့မဟုတ် subnets) များကို သင်ပိတ်ဆို့နိုင်သည်။

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

စကားမစပ်၊ Elastic၊ Winlogbeat အပြင်၊ စာရင်းစစ်စနစ်ပေါ်ရှိ ဖိုင်များနှင့် လုပ်ငန်းစဉ်များကို စောင့်ကြည့်နိုင်သည်။ Kibana တွင် SIEM (Security Information & Event Management) အက်ပ်တစ်ခုလည်း ရှိပါသည်။ နှစ်ခုလုံးကို ကျွန်တော်ကြိုးစားခဲ့ပေမယ့် အကျိုးအများကြီး မတွေ့ခဲ့ရဘူး - Auditbeat က Linux စနစ်တွေအတွက် ပိုအသုံးဝင်ပုံရပြီး SIEM က ကျွန်တော့်ကို ဉာဏ်မမီနိုင်သေးပါဘူး။

ကောင်းပြီ၊ နောက်ဆုံးအကြံပြုချက်များ

• ပုံမှန်အလိုအလျောက် အရန်သိမ်းဆည်းမှုများ ပြုလုပ်ပါ။
• လုံခြုံရေးအပ်ဒိတ်များကို အချိန်မီ ထည့်သွင်းပါ။

အပိုဆု- RDP အကောင့်ဝင်ရန် ကြိုးပမ်းမှုများတွင် အများဆုံးအသုံးပြုခဲ့သော အသုံးပြုသူ 50 စာရင်း

"အသုံးပြုသူအမည်- ကြီးစဉ်ငယ်လိုက်"
ရေတွက်

dfthd7c (အိမ်ရှင်အမည်)
842941

winsrv1 (အိမ်ရှင်အမည်)
266525

စီမံခန့်ခွဲသူ
180678

အုပ်ချုပ်သူ
163842

အုပ်ချုပ်သူ
53541

Michael
23101

ဆာဗာက
21983

စတိဗ်
21936

ဂျွန်
21927

ရှင်ပေါလု
21913

ဧည့်ခန်း
21909

mike
21899

ရုံး
21888

စကင်နာ
21887

စကင်
21867

ဒါဝိဒ်သည်
21865

Chris
21860

ပိုင်ဆိုင်သူ
21855

မန်နေဂျာ
21852

အုပ်ချုပ်သူ
21841

Brian
21839

အုပ်ချုပ်သူ
21837

အမှတ်
21824

ဝန်ထမ်းများ
21806

ADMIN
12748

ROOT
7772

စီမံခန့်ခွဲသူ
7325

အတွက်အထောက်အပံ့
5577

အတွက်အထောက်အပံ့
5418

အသုံးပြုသူကို
4558

admin ရဲ့
2832

စမ်းသပ်ခြင်း
1928

MySql
1664

admin
1652

ည့်သည်
1322

US1
1179

စကင်နာ
1121

စကင်ဖတ်စစ်ဆေးခြင်း
1032

စီမံခန့်ခွဲသူ
842

စီမံခန့်ခွဲသူ ၁
525

အရန်ကူး
518

MySqlAdmin
518

ည့်ကြို
490

US2
466

TEMP
452

SQLADMIN
450

US3
441

1
422

မန်နေဂျာ
418

OWNER က
410

source: www.habr.com