مون اڪثر پڙهيو آهي ته آر ڊي پي (ريموٽ ڊيسڪ ٽاپ پروٽوڪول) پورٽ کي انٽرنيٽ تي کليل رکڻ تمام غير محفوظ آهي ۽ نه ڪرڻ گهرجي. پر توهان کي RDP تائين رسائي ڏيڻ جي ضرورت آهي يا ته هڪ VPN ذريعي، يا صرف ڪجهه ”سفيد“ IP پتي مان.
مان ڪيترن ئي ونڊوز سرورز جو انتظام ڪريان ٿو ننڍن ڪمپنين لاءِ جتي مون کي اڪائونٽنٽ لاءِ ونڊوز سرور تائين ريموٽ رسائي فراهم ڪرڻ جو ڪم سونپيو ويو آهي. هي جديد رجحان آهي - گهر کان ڪم ڪرڻ. تمام جلدي، مون محسوس ڪيو ته وي پي اين اڪائونٽنٽ کي عذاب ڪرڻ هڪ شڪرگذار ڪم آهي، ۽ وائيٽ لسٽ لاءِ سڀني IPs کي گڏ ڪرڻ ڪم نه ڪندو، ڇاڪاڻ ته ماڻهن جا IP ايڊريس متحرڪ آهن.
تنهن ڪري، مون آسان رستو ورتو - آر ڊي پي بندرگاهه کي ٻاهرئين طرف وڌايو. رسائي حاصل ڪرڻ لاءِ، اڪائونٽنٽ کي ھاڻي RDP هلائڻ ۽ ھوسٽ نالو (بشمول پورٽ)، يوزرنيم ۽ پاسورڊ داخل ڪرڻ جي ضرورت آھي.
هن آرٽيڪل ۾ آئون پنهنجو تجربو حصيداري ڪندس (مثبت ۽ نه ايترو مثبت) ۽ سفارشون.
خطرا
آر ڊي پي پورٽ کولڻ سان توهان ڇا خطري ۾ آهيو؟
1) حساس ڊيٽا تائين غير مجاز رسائي
جيڪڏهن ڪو اندازو لڳائي ٿو RDP پاسورڊ، اهي ڊيٽا حاصل ڪرڻ جي قابل هوندا جنهن کي توهان خانگي رکڻ چاهيو ٿا: اڪائونٽ اسٽيٽس، بيلنس، ڪسٽمر ڊيٽا، ...
2) ڊيٽا نقصان
مثال طور، هڪ ransomware وائرس جي نتيجي ۾.
يا هڪ حملو ڪندڙ پاران هڪ عمدي عمل.
3) ڪم اسٽيشن جو نقصان
مزدورن کي ڪم ڪرڻ جي ضرورت آهي، پر سسٽم سمجهوتو ڪيو ويو آهي ۽ ان کي ٻيهر انسٽال ڪرڻ/بحال/ترتيب ڏيڻ جي ضرورت آهي.
4) مقامي نيٽ ورڪ جو سمجھوتو
جيڪڏهن ڪو حملو ڪندڙ ونڊوز ڪمپيوٽر تائين رسائي حاصل ڪري چڪو آهي، ته پوءِ هن ڪمپيوٽر مان هو انهن سسٽم تائين رسائي حاصل ڪري سگهندو، جيڪي ٻاهران، انٽرنيٽ کان ناقابل رسائي آهن. مثال طور، فائل شيئر ڪرڻ، نيٽ ورڪ پرنٽر وغيره.
مون وٽ هڪ ڪيس هو جتي ونڊوز سرور هڪ ransomware پڪڙيو
۽ هن ransomware پهريان C: ڊرائيو تي اڪثر فائلن کي انڪرپٽ ڪيو ۽ پوءِ نيٽ ورڪ تي NAS تي فائلن کي انڪرپٽ ڪرڻ شروع ڪيو. جيئن ته NAS Synology هئي، سنيپ شاٽ ترتيب ڏيڻ سان، مون NAS کي 5 منٽن ۾ بحال ڪيو، ۽ ونڊوز سرور کي شروع کان ٻيهر انسٽال ڪيو.
مشاهدو ۽ سفارشون
مان مانيٽر ڪريان ٿو ونڊوز سرورز استعمال ڪندي ، جيڪو لاگ ان موڪلي ٿو ElasticSearch ڏانهن. Kibana ۾ ڪيترائي نقشا آھن، ۽ مون ھڪڙو ڪسٽم ڊيش بورڊ پڻ سيٽ ڪيو.
مانيٽرنگ پاڻ کي تحفظ نٿو ڏئي، پر اهو ضروري قدمن کي طئي ڪرڻ ۾ مدد ڪري ٿو.
هتي ڪجهه مشاهدا آهن:
a) آر ڊي پي کي زبردستي مجبور ڪيو ويندو.
ھڪڙي سرور تي، مون آر ڊي پي کي معياري پورٽ 3389 تي نصب نه ڪيو، پر 443 تي - چڱو، مان پاڻ کي HTTPS طور تبديل ڪندس. اهو شايد معياري هڪ کان بندرگاهه کي تبديل ڪرڻ جي قابل آهي، پر اهو گهڻو سٺو نه ٿيندو. هتي هن سرور جا انگ اکر آهن:
اهو ڏسي سگھجي ٿو ته هڪ هفتي ۾ تقريباً 400 ناڪام ڪوششون هيون آر ڊي پي ذريعي لاگ ان ٿيڻ لاءِ.
اهو ڏسي سگھجي ٿو ته 55 IP پتي مان لاگ ان ٿيڻ جي ڪوشش ڪئي وئي (ڪجهه IP پتي اڳ ۾ ئي مون طرفان بلاڪ ڪيا ويا).
اهو سڌو سنئون اهو نتيجو ڏئي ٿو ته توهان کي fail2ban سيٽ ڪرڻ جي ضرورت آهي، پر
ونڊوز لاءِ اهڙي ڪا به افاديت ناهي.
Github تي ڪجهه ڇڏيل منصوبا آهن جيڪي ائين ڪرڻ لڳي، پر مون انهن کي انسٽال ڪرڻ جي ڪوشش به نه ڪئي آهي:
ادا ڪيل افاديت پڻ آهن، پر مون انهن تي غور نه ڪيو آهي.
جيڪڏهن توهان ڄاڻو ٿا هڪ کليل ذريعو هن مقصد لاء استعمال، مهرباني ڪري ان کي تبصرن ۾ حصيداري ڪريو.
ڪاري: تبصرو تجويز ڪيو ته بندرگاهه 443 هڪ خراب انتخاب آهي، ۽ اهو بهتر آهي ته اعلي بندرگاهن (32000+) کي چونڊيو، ڇاڪاڻ ته 443 گهڻو ڪري اسڪين ڪيو ويندو آهي، ۽ هن بندرگاهه تي RDP کي سڃاڻڻ ڪو مسئلو ناهي.
b) ڪجھ صارف نالا آھن جيڪي حملي ڪندڙ پسند ڪن ٿا
اهو ڏسي سگھجي ٿو ته ڳولا مختلف نالن سان لغت ۾ ڪئي وئي آهي.
پر هتي اهو آهي جيڪو مون ڏٺو آهي: ڪوششن جو هڪ اهم تعداد سرور جو نالو استعمال ڪري رهيا آهن لاگ ان. سفارش: ڪمپيوٽر ۽ استعمال ڪندڙ لاءِ ساڳيو نالو استعمال نه ڪريو. ان کان علاوه، ڪڏهن ڪڏهن اهو ڏسڻ ۾ اچي ٿو ته اهي سرور جي نالي کي ڪنهن طرح پارس ڪرڻ جي ڪوشش ڪري رهيا آهن: مثال طور، نالي سان سسٽم لاء DESKTOP-DFTHD7C، لاگ ان ٿيڻ لاء سڀ کان وڌيڪ ڪوششون آهن DFTHD7C نالي سان:
ان مطابق، جيڪڏھن توھان وٽ آھي DESKTOP-MARIA ڪمپيوٽر، توھان غالباً MARIA استعمال ڪندڙ جي طور تي لاگ ان ٿيڻ جي ڪوشش ڪندا.
هڪ ٻي شيءِ جيڪا مون لاگز مان محسوس ڪئي: اڪثر سسٽم تي، لاگ ان ٿيڻ جي اڪثر ڪوششون ”ايڊمنسٽريٽر“ نالي سان ٿينديون آهن. ۽ اهو بغير ڪنهن سبب ناهي، ڇاڪاڻ ته ونڊوز جي ڪيترن ئي نسخن ۾، هي صارف موجود آهي. ان کان سواء، ان کي ختم نه ٿو ڪري سگهجي. هي حملو ڪندڙن لاءِ ڪم کي آسان بڻائي ٿو: نالو ۽ پاسورڊ جو اندازو لڳائڻ بدران، توهان کي صرف پاسورڊ جو اندازو لڳائڻ جي ضرورت آهي.
رستي ۾، سسٽم جنهن ransomware کي پڪڙيو هو صارف ايڊمنسٽريٽر ۽ پاسورڊ Murmansk # 9. مون کي اڃا تائين پڪ ناهي ته اهو سسٽم ڪيئن هيڪ ڪيو ويو، ڇاڪاڻ ته مون ان واقعي کان پوء مانيٽرنگ شروع ڪيو، پر مان سمجهان ٿو ته اوورڪيل ممڪن آهي.
پوء جيڪڏھن منتظم استعمال ڪندڙ کي ختم نه ٿو ڪري سگهجي، پوء توهان کي ڇا ڪرڻ گهرجي؟ توھان ان کي تبديل ڪري سگھو ٿا!
هن پيراگراف مان سفارشون:
- ڪمپيوٽر جي نالي ۾ يوزر نالو استعمال نه ڪريو
- پڪ ڪريو ته سسٽم تي ڪو به منتظم صارف نه آهي
- مضبوط پاسورڊ استعمال ڪريو
تنهن ڪري، مان ڪيترن ئي ونڊوز سرورز کي منهنجي ڪنٽرول هيٺ ڏسي رهيو آهيان تقريباً ڪجهه سالن کان، ۽ بغير ڪنهن ڪاميابي جي.
مون کي ڪيئن خبر آهي ته اهو ناڪام آهي؟
ڇو ته مٿين اسڪرين شاٽ ۾ توهان ڏسي سگهو ٿا ته ڪامياب RDP ڪالن جا لاگ آهن، جن ۾ معلومات شامل آهي:
- جنهن کان IP
- جنهن ڪمپيوٽر مان (ميزبان جو نالو)
- کاتي جو نالو
- GeoIP ڄاڻ
۽ مان اتي باقاعدي چيڪ ڪريان ٿو - ڪا به بيضابطگيون نه مليون آهن.
رستي ۾، جيڪڏهن هڪ خاص IP کي خاص طور تي زبردستي زبردستي ڪيو پيو وڃي، ته پوء توهان پاور شيل ۾ انفرادي IPs (يا سبنيٽس) کي بلاڪ ڪري سگهو ٿا:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockرستي جي ذريعي، لچڪدار، Winlogbeat کان علاوه، پڻ آهي ، جيڪو سسٽم تي فائلن ۽ عملن جي نگراني ڪري سگهي ٿو. ڪبانا ۾ هڪ SIEM (سيڪيورٽي انفارميشن ۽ ايونٽ مينيجمينٽ) ايپليڪيشن پڻ آهي. مون ٻنهي جي ڪوشش ڪئي، پر گهڻو فائدو نه ڏٺو - اهو لڳي ٿو آڊيٽ بيٽ لينڪس سسٽم لاءِ وڌيڪ ڪارائتو هوندو، ۽ SIEM مون کي اڃا تائين ڪجهه به نه ڏيکاريو آهي.
خير، آخري سفارشون:
- باقاعده خودڪار بيڪ اپ ٺاهيو.
- بروقت طريقي سان سيڪيورٽي اپڊيٽس کي انسٽال ڪريو
بونس: 50 استعمال ڪندڙن جي فهرست جيڪي اڪثر استعمال ڪيا ويا RDP لاگ ان ڪوششن لاءِ
"user.name: Descending"
ڳڻپ
dfthd7c (ميزبان جو نالو)
842941
winsrv1 (ميزبان جو نالو)
266525
انتظاميه
180678
منتظم
163842
ايڊمنسٽريٽر
53541
مائيڪل
23101
سرور
21983
سليم
21936
جان
21927
پن
21913
استقبال
21909
mike
21899
آفيس
21888
اسڪينر
21887
اسڪين
21867
ڊيوڊ
21865
ڪرس
21860
مالڪ
21855
مينيجر
21852
منتظم
21841
شيخ
21839
منتظم
21837
نشان
21824
عملي
21806
پنهنجا
12748
ROOT
7772
ايڊمنسٽريٽر
7325
حمايت
5577
سپورٽ
5418
USER
4558
پنهنجا
2832
ٽسٽ
1928
ايم ڪيو ايم
1664
پنهنجا
1652
گيسٽ
1322
استعمال ڪندڙ 1
1179
اسڪينر
1121
اسڪان
1032
ايڊمنسٽريٽر
842
ADMIN1
525
بيڪ اپ
518
MySqlAdmin
518
سمجهه
490
استعمال ڪندڙ 2
466
ٽيم
452
SQLADMIN
450
استعمال ڪندڙ 3
441
1
422
مئنيجر
418
پڙهندڙ
410
جو ذريعو: www.habr.com