के यो RDP इन्टरनेटमा खुला राख्न खतरनाक छ?

मैले प्रायः RDP (रिमोट डेस्कटप प्रोटोकल) पोर्ट इन्टरनेटमा खुला राख्नु धेरै असुरक्षित छ र गर्नु हुँदैन भन्ने राय पढेको छु। तर तपाईले RDP मा या त VPN मार्फत, वा केहि "सेतो" IP ठेगानाहरूबाट मात्र पहुँच दिन आवश्यक छ।

म साना फर्महरूका लागि धेरै विन्डोज सर्भरहरू प्रशासित गर्छु जहाँ मलाई एकाउन्टेन्टहरूका लागि Windows सर्भरमा रिमोट पहुँच प्रदान गर्ने जिम्मेवारी दिइएको छ। यो आधुनिक प्रवृत्ति हो - घरबाट काम गर्ने। धेरै चाँडै, मैले महसुस गरें कि VPN लेखाकारहरूलाई पीडा दिनु एक कृतज्ञ कार्य हो, र सेतो सूचीको लागि सबै आईपीहरू सङ्कलन गर्न काम गर्दैन, किनभने मानिसहरूको IP ठेगानाहरू गतिशील छन्।

त्यसकारण, मैले सरल मार्ग लिएँ - आरडीपी पोर्टलाई बाहिर फर्वार्ड गरें। पहुँच प्राप्त गर्न, एकाउन्टेन्टहरूले अब RDP चलाउन र होस्टनाम (पोर्ट सहित), प्रयोगकर्ता नाम र पासवर्ड प्रविष्ट गर्न आवश्यक छ।

यस लेखमा म मेरो अनुभव (सकारात्मक र धेरै सकारात्मक छैन) र सिफारिसहरू साझा गर्नेछु।

जोखिम

RDP पोर्ट खोलेर तपाई के जोखिममा हुनुहुन्छ?

१) संवेदनशील डाटामा अनाधिकृत पहुँच
यदि कसैले RDP पासवर्ड अनुमान लगायो भने, तिनीहरूले डाटा प्राप्त गर्न सक्षम हुनेछ जुन तपाईंले गोप्य राख्न चाहनुहुन्छ: खाता स्थिति, ब्यालेन्स, ग्राहक डेटा, ...

२) डाटा हानि
उदाहरण को लागी, एक ransomware भाइरस को परिणाम को रूप मा।
वा एक आक्रमणकारी द्वारा एक जानाजानी कार्य।

3) कार्यस्थलको हानि
कामदारहरूले काम गर्न आवश्यक छ, तर प्रणाली सम्झौता गरिएको छ र पुन: स्थापना / पुनर्स्थापना / कन्फिगर गर्न आवश्यक छ।

4) स्थानीय नेटवर्कको सम्झौता
यदि आक्रमणकारीले विन्डोज कम्प्युटरमा पहुँच प्राप्त गरेको छ भने, यस कम्प्युटरबाट उसले इन्टरनेटबाट बाहिरबाट पहुँच गर्न नसकिने प्रणालीहरू पहुँच गर्न सक्षम हुनेछ। उदाहरणका लागि, फाइल साझेदारी गर्न, नेटवर्क प्रिन्टरहरूमा, आदि।

मसँग एउटा केस थियो जहाँ विन्डोज सर्भरले ransomware समात्यो

र यो ransomware ले पहिले C: ड्राइभमा धेरैजसो फाइलहरू इन्क्रिप्ट गर्यो र त्यसपछि नेटवर्कमा NAS मा फाइलहरू इन्क्रिप्ट गर्न थाल्यो। NAS Synology भएकोले, स्न्यापशटहरू कन्फिगर गरिएको थियो, मैले NAS लाई 5 मिनेटमा पुनर्स्थापित गरें, र स्क्र्याचबाट Windows सर्भर पुन: स्थापना गरें।

अवलोकन र सिफारिसहरू

म प्रयोग गरेर विन्डोज सर्भरहरू निगरानी गर्छु Winlogbeat, जसले ElasticSearch मा लगहरू पठाउँछ। किबानासँग धेरै दृश्यहरू छन्, र मैले अनुकूलन ड्यासबोर्ड पनि सेटअप गरें।
अनुगमन आफैंले सुरक्षा गर्दैन, तर यसले आवश्यक उपायहरू निर्धारण गर्न मद्दत गर्दछ।

यहाँ केहि अवलोकनहरू छन्:
क) RDP क्रूर बाध्य हुनेछ।
एउटा सर्भरमा, मैले मानक पोर्ट 3389 मा RDP स्थापना गरें, तर 443 मा - ठीक छ, म आफूलाई HTTPS को रूपमा भेष दिनेछु। यो मानक एकबाट पोर्ट परिवर्तन गर्न लायक छ, तर यसले धेरै राम्रो गर्दैन। यहाँ यस सर्भरबाट तथ्याङ्कहरू छन्:

यो देख्न सकिन्छ कि एक हप्तामा RDP मार्फत लग इन गर्न लगभग 400 असफल प्रयासहरू थिए।
यो देख्न सकिन्छ कि त्यहाँ 55 आईपी ठेगानाहरूबाट लग इन गर्ने प्रयासहरू थिए (केही आईपी ठेगानाहरू मैले पहिले नै ब्लक गरिसकेका थिए)।

यसले सीधै निष्कर्ष सुझाव दिन्छ कि तपाईले fail2ban सेट गर्न आवश्यक छ, तर

विन्डोजको लागि त्यस्तो कुनै उपयोगिता छैन।

त्यहाँ Github मा परित्याग गरिएका परियोजनाहरू छन् जुन यो गर्न देखिन्छ, तर मैले तिनीहरूलाई स्थापना गर्ने प्रयास पनि गरेको छैन:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

त्यहाँ सशुल्क उपयोगिताहरू पनि छन्, तर मैले तिनीहरूलाई विचार गरेको छैन।

यदि तपाईंलाई यस उद्देश्यको लागि खुला स्रोत उपयोगिता थाहा छ भने, कृपया टिप्पणीहरूमा साझा गर्नुहोस्।

अपडेट: टिप्पणीहरूले सुझाव दिए कि पोर्ट 443 खराब छनोट हो, र उच्च पोर्टहरू (32000+) छनोट गर्नु राम्रो हुन्छ, किनभने 443 धेरै पटक स्क्यान गरिन्छ, र यो पोर्टमा RDP पहिचान गर्न कुनै समस्या छैन।

b) त्यहाँ केही प्रयोगकर्ता नामहरू छन् जुन आक्रमणकारीहरूले मन पराउँछन्
यो खोज विभिन्न नाम संग एक शब्दकोश मा गरिन्छ कि देख्न सकिन्छ।
तर यहाँ मैले के देखेँ: प्रयासहरूको एक महत्त्वपूर्ण संख्या लगइनको रूपमा सर्भर नाम प्रयोग गर्दैछ। सिफारिस: कम्प्युटर र प्रयोगकर्ताको लागि एउटै नाम प्रयोग नगर्नुहोस्। यसबाहेक, कहिलेकाहीँ यस्तो देखिन्छ कि उनीहरूले सर्भर नामलाई कुनै न कुनै रूपमा पार्स गर्न खोजिरहेका छन्: उदाहरणका लागि, DESKTOP-DFTHD7C नामको प्रणालीको लागि, लग इन गर्न सबैभन्दा धेरै प्रयासहरू DFTHD7C नामको साथ छन्:

तदनुसार, यदि तपाइँसँग DESKTOP-MARIA कम्प्युटर छ भने, तपाइँ सायद MARIA प्रयोगकर्ताको रूपमा लग इन गर्ने प्रयास गर्दै हुनुहुन्छ।

अर्को कुरा मैले लगहरूबाट देखेको छु: धेरै प्रणालीहरूमा, लग इन गर्ने प्रयासहरू "प्रशासक" नामको साथ हुन्छन्। र यो कारण बिना छैन, किनभने Windows को धेरै संस्करणहरूमा, यो प्रयोगकर्ता अवस्थित छ। यसबाहेक, यसलाई मेटाउन सकिँदैन। यसले आक्रमणकारीहरूको लागि कार्यलाई सरल बनाउँछ: नाम र पासवर्ड अनुमान गर्नुको सट्टा, तपाईंले पासवर्ड मात्र अनुमान गर्न आवश्यक छ।
वैसे, ransomware समात्ने प्रणालीमा प्रयोगकर्ता प्रशासक र पासवर्ड Murmansk#9 थियो। म अझै पक्का छैन कि त्यो प्रणाली कसरी ह्याक भयो, किनकि मैले त्यो घटना पछि निगरानी सुरु गरें, तर मलाई लाग्छ कि ओभरकिल सम्भव छ।
त्यसोभए यदि प्रशासक प्रयोगकर्ता मेटाउन सकिँदैन भने, तपाईंले के गर्नुपर्छ? तपाईं यसलाई पुन: नामाकरण गर्न सक्नुहुन्छ!

यस अनुच्छेदबाट सिफारिसहरू:

• कम्प्युटर नाममा प्रयोगकर्ता नाम प्रयोग नगर्नुहोस्
• सुनिश्चित गर्नुहोस् कि प्रणालीमा कुनै प्रशासक प्रयोगकर्ता छैन
• बलियो पासवर्ड प्रयोग गर्नुहोस्

त्यसोभए, मैले मेरो नियन्त्रणमा रहेका धेरै विन्डोज सर्भरहरू अहिले करिब दुई वर्षदेखि ब्रुट-फोर्स्ड भएको देखिरहेको छु, र सफलता बिना।

मलाई कसरी थाहा हुन्छ कि यो असफल छ?
किनभने माथिको स्क्रिनसटहरूमा तपाईंले देख्न सक्नुहुन्छ कि त्यहाँ सफल RDP कलहरूको लगहरू छन्, जसमा जानकारी समावेश छ:

• जसबाट आईपी
• कुन कम्प्युटरबाट (होस्टनाम)
• प्रयोगकर्ता नाम
• GeoIP जानकारी

र म त्यहाँ नियमित रूपमा जाँच गर्छु - कुनै विसंगतिहरू फेला परेन।

वैसे, यदि कुनै विशेष आईपीलाई विशेष गरी कडा रूपमा बलियो बनाईएको छ भने, तपाईले व्यक्तिगत आईपीहरू (वा सबनेटहरू) लाई PowerShell मा यसरी ब्लक गर्न सक्नुहुन्छ:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

वैसे, लोचदार, Winlogbeat को अतिरिक्त, पनि छ अडिटबिट, जसले प्रणालीमा फाइलहरू र प्रक्रियाहरू निगरानी गर्न सक्छ। Kibana मा SIEM (सुरक्षा सूचना र घटना व्यवस्थापन) अनुप्रयोग पनि छ। मैले दुबै कोसिस गरें, तर धेरै फाइदा देखिएन - यस्तो देखिन्छ कि अडिटबीट लिनक्स प्रणालीहरूको लागि अधिक उपयोगी हुनेछ, र SIEM ले मलाई अझै सम्म बुझ्ने कुरा देखाएको छैन।

खैर, अन्तिम सिफारिसहरू:

• नियमित स्वचालित ब्याकअप बनाउनुहोस्।
• समयमै सुरक्षा अपडेटहरू स्थापना गर्नुहोस्

बोनस: RDP लगइन प्रयासहरूको लागि प्रायः प्रयोग गरिएका ५० प्रयोगकर्ताहरूको सूची

"user.name: descending"
गणना गर्नुहोस्

dfthd7c (होस्टनाम)
842941

winsrv1 (होस्टनाम)
266525

प्रशासक
180678

प्रशासक
163842

प्रशासक
53541

माइकल
23101

सर्भर
21983

स्टीव
21936

जन
21927

पल
21913

स्वागत
21909

माइक
21899

कार्यालय
21888

स्कैनर
21887

स्क्यान
21867

दाऊदले
21865

क्रिस
21860

मालिक
21855

प्रबन्धक
21852

प्रशासक
21841

ब्रायन
21839

प्रशासक
21837

मार्क
21824

कर्मचारी
21806

ADININ
12748

जड
7772

प्रशासक
7325

समर्थन
5577

समर्थन गर्नुहोस्
5418

USER
4558

.
2832

TEST
1928

Mysql
1664

व्यवस्थापक
1652

दयालु
1322

USER1
1179

स्क्यानर
1121

स्क्यान
1032

प्रशासक
842

ADMIN1
525

ब्याकअप
518

MySqlAdmin
518

रिसेप्शन
490

USER2
466

टेम्प
452

SQLADMIN
450

USER3
441

1
422

प्रबन्धक
418

OWNER
410

स्रोत: www.habr.com