ما ډیری وختونه دا نظر لوستلی چې انټرنیټ ته د RDP (ریموټ ډیسټاپ پروتوکول) بندر خلاص ساتل خورا غیر خوندي دي او باید ترسره نشي. مګر تاسو اړتیا لرئ RDP ته د VPN له لارې لاسرسی ورکړئ ، یا یوازې د ځانګړي "سپینې" IP پتې څخه.
زه د وړو شرکتونو لپاره ډیری وینډوز سرورونه اداره کوم چیرې چې ما ته دنده ورکړل شوې چې د محاسبینو لپاره وینډوز سرور ته لیرې لاسرسی چمتو کړي. دا عصري رجحان دی - له کور څخه کار کول. په چټکۍ سره، ما پوهیده چې د VPN حساب ورکوونکو ځورول یو بې شکره کار دی، او د سپینې لیست لپاره د ټولو IPs راټولول به کار ونکړي، ځکه چې د خلکو IP پتې متحرک دي.
له همدې امله، ما ترټولو ساده لاره ونیوله - د RDP بندر بهر ته لیږدول. د لاسرسي ترلاسه کولو لپاره ، محاسبین اوس اړتیا لري RDP چلوي او کوربه نوم (د پورټ په شمول) ، کارن نوم او پټنوم دننه کړي.
پدې مقاله کې به زه خپله تجربه (مثبت او نه دومره مثبت) او وړاندیزونه شریک کړم.
خطرونه
تاسو د RDP بندر په پرانیستلو سره څه خطر لرئ؟
1) حساس معلوماتو ته غیر مجاز لاسرسی
که څوک د RDP پاسورډ اټکل کړي، دوی به وکولی شي هغه معلومات ترلاسه کړي چې تاسو غواړئ شخصي وساتئ: د حساب حالت، بیلانس، د پیرودونکي ډاټا، ...
2) د معلوماتو ضایع کول
د مثال په توګه، د ransomware ویروس په پایله کې.
یا د برید کونکي لخوا قصدي عمل.
3) د کار ځای له لاسه ورکول
کارګران کار کولو ته اړتیا لري، مګر سیسټم جوړ شوی او اړتیا لري چې بیا نصب/بیارغول/تنظیم شي.
4) د محلي شبکې جوړجاړی
که بریدګر د وینډوز کمپیوټر ته لاس رسی ترلاسه کړي، نو د دې کمپیوټر څخه به هغه سیسټمونو ته لاسرسی ومومي چې له بهر څخه د لاسرسي وړ ندي، له انټرنیټ څخه. د مثال په توګه، د ونډو فایل کول، د شبکې پرنټرونو ته، او داسې نور.
ما یوه قضیه درلوده چیرې چې وینډوز سرور د ransomware نیولی و
او دې ransomware لومړی په C: ډرایو کې ډیری فایلونه کوډ کړل او بیا یې په شبکه کې NAS کې د فایلونو کوډ کول پیل کړل. څرنګه چې NAS Synology و، د سنیپ شاټونو ترتیب سره، ما په 5 دقیقو کې NAS بحال کړ، او د وینډوز سرور یې له سکریچ څخه بیا نصب کړ.
مشاهدات او سپارښتنې
زه د وینډوز سرورونو په کارولو سره څارنه کوم ، کوم چې ElasticSearch ته لاګونه لیږي. کیبانا ډیری لیدونه لري، او ما یو دودیز ډشبورډ هم جوړ کړ.
څارنه پخپله ساتنه نه کوي، مګر دا د اړینو اقداماتو په ټاکلو کې مرسته کوي.
دلته ځینې مشاهدې دي:
a) RDP به وحشیانه جبري وي.
په یو سرور کې، ما RDP په معیاري بندر 3389 کې نصب نه کړ، مګر په 443 کې - ښه، زه به خپل ځان د HTTPS په توګه پټ کړم. دا شاید د معیاري څخه بندر بدلولو ارزښت ولري ، مګر دا به ډیر ښه ونه کړي. دلته د دې سرور څخه احصایې دي:
دا لیدل کیدی شي چې په یوه اونۍ کې د RDP له لارې د ننوتلو نږدې 400 ناکامې هڅې وې.
دا لیدل کیدی شي چې د 55 IP پتې څخه د ننوتلو هڅې وې (ځینې IP پتې دمخه زما لخوا بندې شوې وې).
دا مستقیم پایلې وړاندیز کوي چې تاسو اړتیا لرئ fail2ban تنظیم کړئ ، مګر
د وینډوز لپاره داسې هیڅ ګټه نشته.
په ګیتوب کې یو څو پریښودل شوې پروژې شتون لري چې داسې ښکاري چې دا کار کوي، مګر ما حتی د دوی د نصبولو هڅه نه ده کړې:
دلته تادیه شوي اسانتیاوې هم شتون لري ، مګر ما دوی په پام کې ندي نیولي.
که تاسو د دې هدف لپاره د خلاصې سرچینې افادیت پیژنئ ، مهرباني وکړئ په نظرونو کې یې شریک کړئ.
تازه: نظرونو وړاندیز وکړ چې پورټ 443 یو بد انتخاب دی، او دا غوره ده چې لوړ بندرونه غوره کړئ (32000+)، ځکه چې 443 ډیر ځله سکین شوی، او پدې بندر کې د RDP پیژندل کومه ستونزه نده.
b) ځینې ځانګړي کارونکي نومونه شتون لري چې برید کونکي غوره کوي
دا لیدل کیدی شي چې لټون په مختلفو نومونو سره په لغت کې ترسره کیږي.
مګر دلته هغه څه دي چې ما ولیدل: د پام وړ شمیر هڅې د سرور نوم د ننوتلو په توګه کاروي. سپارښتنه: د کمپیوټر او کارونکي لپاره ورته نوم مه کاروئ. سربیره پردې ، ځینې وختونه داسې ښکاري چې دوی هڅه کوي د سرور نوم یو څه تجزیه کړي: د مثال په توګه ، د ډیسکټاپ-DFTHD7C نوم سره د سیسټم لپاره ، د ننوتلو ډیری هڅې د DFTHD7C نوم سره دي:
په دې اساس، که تاسو د ډیسکټاپ-ماریا کمپیوټر لرئ، تاسو به شاید د ماریا کارونکي په توګه د ننوتلو هڅه وکړئ.
یو بل شی چې ما د لاګونو څخه ولیدل: په ډیری سیسټمونو کې ، د ننوتلو ډیری هڅې د "مدیر" نوم سره دي. او دا پرته له کوم دلیل نه دی، ځکه چې د وینډوز ډیری نسخو کې دا کاروونکي شتون لري. برسېره پر دې، دا نشي له منځه وړل کیدی شي. دا د برید کونکو لپاره کار اسانه کوي: د نوم او پټنوم اټکل کولو پرځای ، تاسو یوازې د پټنوم اټکل کولو ته اړتیا لرئ.
په هرصورت، هغه سیسټم چې ransomware یې نیولی د کارونکي مدیر او مرمانسک # 9 پاسورډ درلود. زه لاهم ډاډه نه یم چې دا سیسټم څنګه هیک شوی و، ځکه چې ما د دې پیښې وروسته څارنه پیل کړه، مګر زه فکر کوم چې ډیر احتمال شتون لري.
نو که چیرې د مدیر کارونکي حذف نشي ، نو تاسو باید څه وکړئ؟ تاسو کولی شئ نوم یې بدل کړئ!
د دې پراګراف څخه وړاندیزونه:
- د کمپیوټر په نوم کې د کارن نوم مه کاروئ
- ډاډ ترلاسه کړئ چې په سیسټم کې هیڅ مدیر کارونکی شتون نلري
- قوي پاسورډونه وکاروئ
نو، زه د څو کلونو راهیسې زما تر کنټرول لاندې د وینډوز ډیری سرورونه ګورم چې د وحشیانه جبري کیدو په حال کې دي، او پرته له بریالیتوب څخه.
زه څنګه پوهیږم چې دا ناکام دی؟
ځکه چې په پورته سکرین شاټونو کې تاسو لیدلی شئ چې د بریالي RDP تلیفونونو لاګونه شتون لري، کوم چې معلومات لري:
- له کوم IP څخه
- له کوم کمپیوټر څخه (د کوربه نوم)
- کارن نوم
- GeoIP معلومات
او زه هلته په منظمه توګه ګورم - هیڅ ګډوډي نه ده موندل شوې.
په هرصورت ، که چیرې یو ځانګړی IP په ځانګړي ډول په سختۍ سره جبري وي ، نو تاسو کولی شئ انفرادي IPs (یا فرعي نیټونه) لکه په پاور شیل کې بند کړئ:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockپه لاره کې، لچک، د Winlogbeat سربیره، هم لري ، کوم چې کولی شي په سیسټم کې فایلونه او پروسې وڅاري. په کبانا کې د SIEM (د امنیت معلوماتو او پیښو مدیریت) غوښتنلیک هم شتون لري. ما دواړه هڅه وکړه، مګر ډیره ګټه یې ونه لیدله - داسې ښکاري چې د اډیټ بیټ به د لینکس سیسټمونو لپاره ډیر ګټور وي، او SIEM ما تر اوسه هیڅ د پوهیدو وړ نه دی ښودلی.
ښه، وروستۍ سپارښتنې:
- منظم اتوماتیک بیک اپ جوړ کړئ.
- امنیتي تازه معلومات په وخت سره نصب کړئ
بونس: د 50 کاروونکو لیست چې ډیری وختونه د RDP د ننوتلو هڅو لپاره کارول شوي
"د کارن نوم: ښکته کیدونکی"
د شمېرنې د
dfthd7c (د کوربه نوم)
842941
winsrv1 (د کوربه نوم)
266525
مدیر
180678
پازوال
163842
Administrator
53541
مایکل
23101
سرور
21983
Steve
21936
john
21927
پال
21913
د استوګنې په
21909
مایک
21899
دفتر
21888
سکنر
21887
سکن
21867
David
21865
کریس
21860
څښتن
21855
مدیر
21852
پازوال
21841
براین
21839
مدیر
21837
نښه
21824
د کارکوونکو
21806
ADMIN
12748
ROOT
7772
مدیر
7325
SUPPORT
5577
ملاتړ
5418
USER
4558
اداری
2832
ټسټ
1928
MySQL
1664
اداري
1652
ګفت
1322
USER1
1179
سکینر
1121
SCAN
1032
مدیر
842
ADMIN1
525
بیک اپ
518
MySqlAdmin
518
EC REC..
490
USER2
466
TEMP
452
SQLADMIN
450
USER3
441
1
422
مدیریت
418
خاوند
410
سرچینه: www.habr.com