Kam lexuar shpesh mendimin se mbajtja e një porti RDP (Remote Desktop Protocol) në internet është shumë e pasigurt dhe nuk duhet bërë. Por ju duhet të jepni qasje në RDP ose përmes një VPN, ose vetëm nga disa adresa IP "të bardha".
Unë administroj disa serverë Windows për firmat e vogla ku më kanë ngarkuar të siguroj akses në distancë në Windows Server për kontabilistët. Ky është trendi modern - të punosh nga shtëpia. Shumë shpejt, kuptova se mundimi i kontabilistëve VPN është një detyrë e pafalshme dhe mbledhja e të gjitha IP-ve për listën e bardhë nuk do të funksionojë, sepse adresat IP të njerëzve janë dinamike.
Prandaj, mora rrugën më të thjeshtë - e përcolla portin RDP në pjesën e jashtme. Për të fituar akses, kontabilistët tani duhet të ekzekutojnë RDP dhe të fusin emrin e hostit (përfshirë portin), emrin e përdoruesit dhe fjalëkalimin.
Në këtë artikull do të ndaj përvojën time (pozitive dhe jo aq pozitive) dhe rekomandimet.
Rreziqet
Çfarë rrezikoni duke hapur portin RDP?
1) Qasje e paautorizuar në të dhëna të ndjeshme
Nëse dikush merr me mend fjalëkalimin RDP, ai do të jetë në gjendje të marrë të dhëna që dëshironi t'i mbani private: statusi i llogarisë, bilancet, të dhënat e klientit, ...
2) Humbja e të dhënave
Për shembull, si rezultat i një virusi ransomware.
Ose një veprim i qëllimshëm nga një sulmues.
3) Humbja e stacionit të punës
Punëtorët duhet të punojnë, por sistemi është i komprometuar dhe duhet të riinstalohet/riparohet/konfigurohet.
4) Kompromis i rrjetit lokal
Nëse një sulmues ka fituar akses në një kompjuter Windows, atëherë nga ky kompjuter ai do të jetë në gjendje të hyjë në sisteme që janë të paarritshme nga jashtë, nga interneti. Për shembull, për të ndarë skedarët, për printerët e rrjetit, etj.
Kam pasur një rast kur Windows Server kapi një ransomware
dhe ky ransomware fillimisht kodoi shumicën e skedarëve në diskun C: dhe më pas filloi të kodonte skedarët në NAS përmes rrjetit. Meqenëse NAS ishte Synology, me fotografi të konfiguruara, unë rivendosa NAS në 5 minuta dhe riinstalova Windows Server nga e para.
Vëzhgime dhe rekomandime
Unë monitoroj serverët e Windows duke përdorur , të cilat dërgojnë regjistra te ElasticSearch. Kibana ka disa vizualizime, dhe unë gjithashtu kam vendosur një panel me porosi.
Vetë monitorimi nuk mbron, por ndihmon në përcaktimin e masave të nevojshme.
Këtu janë disa vëzhgime:
a) RDP do të jetë i detyruar brutal.
Në një nga serverët, unë instalova RDP jo në portin standard 3389, por në 443 - mirë, do të maskohem si HTTPS. Ndoshta ia vlen të ndryshoni portin nga ai standard, por nuk do të bëjë shumë mirë. Këtu janë statistikat nga ky server:
Mund të shihet se në një javë ka pasur pothuajse 400 përpjekje të pasuksesshme për t'u identifikuar përmes RDP.
Mund të shihet se ka pasur përpjekje për t'u identifikuar nga 55 adresa IP (disa adresa IP janë bllokuar tashmë nga unë).
Kjo sugjeron drejtpërdrejt përfundimin se ju duhet të vendosni fail2ban, por
Nuk ka një mjet të tillë për Windows.
Ka disa projekte të braktisura në Github që duket se e bëjnë këtë, por unë as që jam përpjekur t'i instaloj ato:
Ka edhe shërbime me pagesë, por nuk i kam marrë në konsideratë.
Nëse dini një mjet me burim të hapur për këtë qëllim, ju lutemi ndajeni atë në komente.
Përditësimet: Komentet sugjeruan që porti 443 është një zgjedhje e keqe dhe është më mirë të zgjidhni portat e larta (32000+), sepse 443 skanohet më shpesh dhe njohja e RDP në këtë port nuk është problem.
b) Ka disa emra përdoruesish që sulmuesit preferojnë
Shihet se kërkimi është kryer në një fjalor me emra të ndryshëm.
Por ja çfarë vura re: një numër i konsiderueshëm përpjekjesh përdorin emrin e serverit si hyrje. Rekomandim: Mos përdorni të njëjtin emër për kompjuterin dhe përdoruesin. Për më tepër, ndonjëherë duket sikur po përpiqen të analizojnë disi emrin e serverit: për shembull, për një sistem me emrin DESKTOP-DFTHD7C, përpjekjet më të shumta për t'u identifikuar janë me emrin DFTHD7C:
Prandaj, nëse keni një kompjuter DESKTOP-MARIA, ndoshta do të përpiqeni të identifikoheni si përdorues MARIA.
Një gjë tjetër që vura re nga regjistrat: në shumicën e sistemeve, shumica e përpjekjeve për t'u identifikuar janë me emrin "administrator". Dhe kjo nuk është pa arsye, sepse në shumë versione të Windows, ky përdorues ekziston. Për më tepër, nuk mund të fshihet. Kjo thjeshton detyrën për sulmuesit: në vend që të merrni me mend një emër dhe fjalëkalim, ju duhet vetëm të merrni me mend fjalëkalimin.
Nga rruga, sistemi që kapi ransomware kishte Administratorin e përdoruesit dhe fjalëkalimin Murmansk#9. Ende nuk jam i sigurt se si u hakerua ai sistem, sepse fillova të monitoroj menjëherë pas atij incidenti, por mendoj se ka gjasa që të ketë mbingarkesë.
Pra, nëse përdoruesi i Administratorit nuk mund të fshihet, atëherë çfarë duhet të bëni? Mund ta riemërtoni!
Rekomandimet nga ky paragraf:
- mos përdorni emrin e përdoruesit në emrin e kompjuterit
- sigurohuni që të mos ketë përdorues Administrator në sistem
- përdorni fjalëkalime të forta
Pra, unë kam shikuar disa serverë Windows nën kontrollin tim duke u detyruar brutalisht për rreth disa vjet tani, dhe pa sukses.
Si ta di që është i pasuksesshëm?
Sepse në pamjet e mësipërme mund të shihni se ka regjistra të thirrjeve të suksesshme RDP, të cilat përmbajnë informacionin:
- nga e cila IP
- nga cili kompjuter (emri i hostit)
- emri i përdoruesit
- Informacioni GeoIP
Dhe unë kontrolloj rregullisht atje - nuk janë gjetur anomali.
Nga rruga, nëse një IP e caktuar po detyrohet veçanërisht e vështirë, atëherë mund të bllokoni IP-të (ose nënrrjetet) individuale si kjo në PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockNga rruga, Elastic, përveç Winlogbeat, gjithashtu ka , i cili mund të monitorojë skedarët dhe proceset në sistem. Ekziston gjithashtu një aplikacion SIEM (Security Information & Event Management) në Kibana. I provova të dyja, por nuk pashë shumë përfitime - duket se Auditbeat do të jetë më i dobishëm për sistemet Linux dhe SIEM nuk më ka treguar ende asgjë të kuptueshme.
Epo, rekomandimet përfundimtare:
- Bëni kopje rezervë të rregullta automatike.
- instaloni përditësimet e sigurisë në kohën e duhur
Bonus: lista e 50 përdoruesve që përdoreshin më shpesh për përpjekjet për hyrje në RDP
"user.name: në zbritje"
Numëroj
dfthd7c (emri i hostit)
842941
winsrv1 (emri i hostit)
266525
ADMINISTRATORI
180678
administrator
163842
Administrator
53541
michael
23101
server
21983
steve
21936
john
21927
paul
21913
pritje
21909
mikrofon
21899
zyrë
21888
skaner
21887
hetoj
21867
david
21865
chris
21860
pronar
21855
menaxher
21852
administrateur
21841
brian
21839
administrator
21837
shënojë
21824
Stafi
21806
ADMIN
12748
ROOT
7772
ADMINISTRATOR
7325
SUPORT
5577
SUPPORT
5418
PERRDORUESI
4558
admin
2832
TEST
1928
mysql
1664
admin
1652
MIRESUESI
1322
PERRDORUESI1
1179
Skaner
1121
SCAN
1032
ADMINISTRATOR
842
ADMIN1
525
bACKUP
518
MySqlAdmin
518
PRANIMI
490
PERRDORUESI2
466
Temp
452
SQLADMIN
450
PERRDORUESI3
441
1
422
MANAGER
418
Pronar
410
Burimi: www.habr.com