RDP (Remote Desktop Protocol) port එකක් අන්තර්ජාලයට විවෘතව තැබීම ඉතා අනාරක්ෂිත බවත් එසේ නොකළ යුතු බවත් යන මතය මා නිතර කියවා ඇත. නමුත් ඔබ RDP වෙත ප්රවේශය ලබා දිය යුත්තේ VPN හරහා හෝ ඇතැම් "සුදු" IP ලිපින වලින් පමණි.
ගණකාධිකාරීවරුන් සඳහා Windows Server වෙත දුරස්ථ ප්රවේශය සැපයීමට මා හට පැවරී ඇති කුඩා සමාගම් සඳහා මම Windows Servers කිහිපයක් පරිපාලනය කරමි. මෙය නූතන ප්රවණතාවයයි - නිවසේ සිට වැඩ කිරීම. VPN ගණකාධිකාරීවරුන්ට වධ හිංසා කිරීම ස්තූතිවන්ත නොවන කාර්යයක් බවත්, සුදු ලැයිස්තුව සඳහා සියලුම IPs එකතු කිරීම ක්රියා නොකරන බවත් ඉතා ඉක්මනින් මට වැටහුණි, මන්ද මිනිසුන්ගේ IP ලිපින ගතික වේ.
ඒ නිසා, මම සරලම මාර්ගය ගත්තා - RDP වරාය පිටතට යොමු කළා. ප්රවේශය ලබා ගැනීම සඳහා, ගණකාධිකාරීවරුන් දැන් RDP ධාවනය කර සත්කාරක නාමය (වරාය ඇතුළුව), පරිශීලක නාමය සහ මුරපදය ඇතුළත් කළ යුතුය.
මෙම ලිපියෙන් මම මගේ අත්දැකීම් (ධනාත්මක සහ එතරම් ධනාත්මක නොවන) සහ නිර්දේශ බෙදා ගන්නෙමි.
අවදානම්
RDP වරාය විවෘත කිරීමෙන් ඔබ අවදානමට ලක් වන්නේ කුමක්ද?
1) සංවේදී දත්ත වලට අනවසරයෙන් පිවිසීම
යමෙකු RDP මුරපදය අනුමාන කරන්නේ නම්, ඔබට පුද්ගලිකව තබා ගැනීමට අවශ්ය දත්ත ලබා ගැනීමට ඔවුන්ට හැකි වනු ඇත: ගිණුම් තත්ත්වය, ශේෂයන්, පාරිභෝගික දත්ත, ...
2) දත්ත නැතිවීම
උදාහරණයක් ලෙස, ransomware වෛරසයක ප්රතිඵලයක් ලෙස.
නැතහොත් ප්රහාරකයකු විසින් හිතාමතා කළ ක්රියාවකි.
3) වැඩපොළ අහිමි වීම
කම්කරුවන් වැඩ කිරීමට අවශ්ය, නමුත් පද්ධතිය සම්මුතියකට ලක්ව ඇති අතර නැවත ස්ථාපනය / ප්රතිෂ්ඨාපනය / වින්යාස කිරීම අවශ්ය වේ.
4) දේශීය ජාලයේ සම්මුතිය
ප්රහාරකයෙකු වින්ඩෝස් පරිගණකයකට ප්රවේශය ලබා ගෙන තිබේ නම්, මෙම පරිගණකයෙන් ඔහුට පිටතින්, අන්තර්ජාලයෙන් ප්රවේශ විය නොහැකි පද්ධති වෙත ප්රවේශ විය හැකිය. උදාහරණයක් ලෙස, කොටස් ගොනු කිරීමට, ජාල මුද්රණ යන්ත්ර සඳහා යනාදිය.
මට Windows Server එක ransomware එකක් අල්ලපු කේස් එකක් තිබුනා
සහ මෙම ransomware ප්රථමයෙන් C: drive හි ඇති බොහෝ ගොනු සංකේතනය කර පසුව ජාලය හරහා NAS මත ඇති ගොනු සංකේතනය කිරීමට පටන් ගත්තේය. NAS Synology වූ බැවින්, ස්නැප්ෂොට් වින්යාස කර ඇති බැවින්, මම මිනිත්තු 5 කින් NAS ප්රතිසාධනය කර, මුල සිටම Windows Server නැවත ස්ථාපනය කළෙමි.
නිරීක්ෂණ සහ නිර්දේශ
මම වින්ඩෝස් සර්වර් භාවිතා කරමින් නිරීක්ෂණය කරමි , ElasticSearch වෙත ලඝු-සටහන් යවන. Kibana හි දෘශ්යකරණයන් කිහිපයක් ඇති අතර, මම අභිරුචි උපකරණ පුවරුවක් ද සකස් කළෙමි.
අධීක්ෂණය විසින්ම ආරක්ෂා නොවේ, නමුත් එය අවශ්ය පියවර තීරණය කිරීමට උපකාරී වේ.
මෙන්න සමහර නිරීක්ෂණ:
අ) RDP තිරිසන් බල කරනු ඇත.
එක් සේවාදායකයක, මම RDP ස්ථාපනය කළේ සම්මත වරාය 3389 මත නොව 443 මත - හොඳයි, මම HTTPS ලෙස වෙස්වළා ගන්නෙමි. ස්ටෑන්ඩර්ඩ් එකෙන් පෝට් එක වෙනස් කරන එක ගොඩක් වටිනවා, ඒත් ඒකෙන් වැඩි හොඳක් වෙන්නේ නෑ. මෙම සේවාදායකයේ සංඛ්යාලේඛන මෙන්න:
සතියක් තුළ RDP හරහා ලොග් වීමට අසාර්ථක උත්සාහයන් 400 කට ආසන්න ප්රමාණයක් ඇති බව පෙනේ.
IP ලිපින 55 කින් ලොග් වීමට උත්සාහ කර ඇති බව පෙනේ (සමහර IP ලිපින දැනටමත් මා විසින් අවහිර කර ඇත).
මෙය ඔබට fail2ban සැකසීමට අවශ්ය බව කෙලින්ම යෝජනා කරයි, නමුත්
වින්ඩෝස් සඳහා එවැනි උපයෝගීතාවයක් නොමැත.
Github හි අතහැර දැමූ ව්යාපෘති කිහිපයක් මෙය කරන බව පෙනේ, නමුත් මම ඒවා ස්ථාපනය කිරීමට උත්සාහ කර නැත:
ගෙවන උපයෝගිතා ද ඇත, නමුත් මම ඒවා සලකා බැලුවේ නැත.
මේ සඳහා විවෘත මූලාශ්ර උපයෝගීතාවයක් ඔබ දන්නේ නම්, කරුණාකර එය අදහස් දැක්වීමේදී බෙදා ගන්න.
යාවත්කාලීන: 443 වරාය නරක තේරීමක් බවත්, ඉහළ වරායන් (32000+) තෝරා ගැනීම වඩා හොඳ බවත්, 443 නිතර පරිලෝකනය කරන නිසාත්, මෙම වරායේ RDP හඳුනා ගැනීම ගැටළුවක් නොවන බවත් අදහස් යෝජනා කළේය.
ආ) ප්රහාරකයන් කැමති ඇතැම් පරිශීලක නාම තිබේ
විවිධ නම්වලින් යුත් ශබ්දකෝෂයක සෙවීම් සිදු කරන බව පෙනේ.
නමුත් මා දුටු දේ මෙන්න: සැලකිය යුතු උත්සාහයන් සංඛ්යාවක් සේවාදායක නාමය පුරනය වීමක් ලෙස භාවිතා කරයි. නිර්දේශය: පරිගණකය සහ පරිශීලකයා සඳහා එකම නම භාවිතා නොකරන්න. එපමණක් නොව, සමහර විට ඔවුන් සේවාදායකයේ නම කෙසේ හෝ විග්රහ කිරීමට උත්සාහ කරන බව පෙනේ: උදාහරණයක් ලෙස, DESKTOP-DFTHD7C යන නම සහිත පද්ධතියක් සඳහා, ලොග් වීමට වැඩිම උත්සාහයන් වන්නේ DFTHD7C යන නමෙනි:
ඒ අනුව, ඔබ සතුව DESKTOP-MARIA පරිගණකයක් තිබේ නම්, ඔබ බොහෝ විට MARIA පරිශීලකයා ලෙස ලොග් වීමට උත්සාහ කරනු ඇත.
ලොග් වලින් මා දුටු තවත් දෙයක්: බොහෝ පද්ධතිවල, ලොග් වීමට බොහෝ උත්සාහයන් "පරිපාලක" යන නම සමඟ ඇත. මෙය හේතුවක් නොමැතිව නොවේ, මන්ද බොහෝ වින්ඩෝස් අනුවාද වල මෙම පරිශීලකයා සිටී. එපමණක්ද නොව, එය මකා දැමිය නොහැක. මෙය ප්රහාරකයන් සඳහා කාර්යය සරල කරයි: නමක් සහ මුරපදයක් අනුමාන කිරීම වෙනුවට, ඔබට මුරපදය අනුමාන කිරීමට පමණක් අවශ්ය වේ.
මාර්ගය වන විට, ransomware අල්ලා ගත් පද්ධතිය පරිශීලක පරිපාලක සහ මුරපදය Murmansk # 9 විය. එම සිස්ටම් එක හැක් කළේ කෙසේදැයි මට තවමත් විශ්වාස නැත, මන්ද මම එම සිදුවීමෙන් පසුවම නිරීක්ෂණය කිරීමට පටන් ගත්තෙමි, නමුත් මම හිතන්නේ එය අධික ලෙස ඝාතනය වීමට ඉඩ ඇත.
එබැවින් පරිපාලක පරිශීලකයා මකා දැමිය නොහැකි නම්, ඔබ කළ යුත්තේ කුමක්ද? ඔබට එය නැවත නම් කළ හැකිය!
මෙම ඡේදයෙන් නිර්දේශ:
- පරිගණක නාමයේ පරිශීලක නාමය භාවිතා නොකරන්න
- පද්ධතියේ පරිපාලක පරිශීලකයෙකු නොමැති බවට වග බලා ගන්න
- ශක්තිමත් මුරපද භාවිතා කරන්න
එබැවින්, මගේ පාලනය යටතේ ඇති වින්ඩෝස් සර්වර් කිහිපයක් දැන් වසර දෙකක පමණ සිට තිරිසන් ලෙස බලහත්කාරයෙන් බලහත්කාරයෙන් බලහත්කාරයෙන් සිදු කරනු ලබන අතර එය සාර්ථක නොවීම මම බලා සිටිමි.
එය අසාර්ථක බව මා දන්නේ කෙසේද?
මක්නිසාද යත් ඉහත තිරපිටපත් වල ඔබට තොරතුරු අඩංගු සාර්ථක RDP ඇමතුම් ලොග් ඇති බව දැක ගත හැකිය:
- කුමන IP වලින්
- කුමන පරිගණකයෙන් (සත්කාරක නාමය)
- පරිශීලක නාමය
- GeoIP තොරතුරු
මම එහි නිතිපතා පරීක්ෂා කරමි - කිසිදු විෂමතාවයක් සොයාගෙන නොමැත.
මාර්ගය වන විට, යම් IP විශේෂයෙන් දැඩි ලෙස බලහත්කාරයෙන් බලහත්කාරයෙන් සිදු කරන්නේ නම්, එවිට ඔබට PowerShell හි මෙවැනි තනි IPs (හෝ උපජාල) අවහිර කළ හැක:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockමාර්ගය වන විට, Winlogbeat වලට අමතරව Elastic, ද ඇත , පද්ධතියේ ගොනු සහ ක්රියාවලි නිරීක්ෂණය කළ හැක. කිබානා හි SIEM (ආරක්ෂක තොරතුරු සහ සිදුවීම් කළමනාකරණය) යෙදුමක් ද ඇත. මම දෙකම උත්සාහ කළ නමුත් වැඩි ප්රතිලාභයක් නොදුටුවෙමි - Linux පද්ධති සඳහා Auditbeat වඩාත් ප්රයෝජනවත් වනු ඇති බව පෙනේ, සහ SIEM මට තවමත් තේරුම්ගත හැකි කිසිවක් පෙන්වා නැත.
හොඳයි, අවසාන නිර්දේශ:
- නිතිපතා ස්වයංක්රීය උපස්ථ කරන්න.
- ආරක්ෂක යාවත්කාලීනයන් නියමිත වේලාවට ස්ථාපනය කරන්න
ප්රසාද දීමනාව: RDP පිවිසුම් උත්සාහයන් සඳහා බොහෝ විට භාවිතා කළ පරිශීලකයින් 50 දෙනෙකුගේ ලැයිස්තුව
"user.name: පහලට"
ගණන් කරන්න
dfthd7c (සත්කාරක නාමය)
842941
winsrv1 (සත්කාරක නාමය)
266525
පරිපාලක
180678
පරිපාලක
163842
පරිපාලක
53541
මයිකල්
23101
සේවාදායකය
21983
ස්ටීව්
21936
ජෝන්
21927
පෝල්
21913
පිළිගැනීමයි
21909
මයික්
21899
කාර්යාල
21888
ස්කෑනර්
21887
ස්කෑන්
21867
ඩේවිඩ්
21865
ක්රිස්
21860
හිමිකරුය
21855
කළමනාකරු
21852
පරිපාලක
21841
brian
21839
පරිපාලක
21837
ලකුණ
21824
කාර්ය මණ්ඩලය
21806
පරිපාලක
12748
ROOT
7772
පරිපාලක
7325
උපකාර
5577
සහාය
5418
පරිශීලක
4558
පරිපාලක
2832
ටෙස්ට්
1928
MySQL
1664
පරිපාලක
1652
අමුත්තන්ගේ
1322
පරිශීලකයා 1
1179
ස්කෑනර්
1121
ස්කෑන්
1032
පරිපාලක
842
පරිපාලක1
525
බැකප්
518
MySqlAdmin
518
පිළිගැනීම
490
පරිශීලකයා 2
466
තාවකාලික
452
SQLADMIN
450
පරිශීලකයා 3
441
1
422
කළමනාකරු
418
හිමිකරු
410
මූලාශ්රය: www.habr.com