ProHoster > A është e rrezikshme të mbash RDP të hapur në internet?

A është e rrezikshme të mbash RDP të hapur në internet?

Kam lexuar shpesh mendimin se mbajtja e një porti RDP (Remote Desktop Protocol) në internet është shumë e pasigurt dhe nuk duhet bërë. Por ju duhet të jepni qasje në RDP ose përmes një VPN, ose vetëm nga disa adresa IP "të bardha".

Unë administroj disa Windows Server për kompani të vogla ku më ishte ngarkuar detyra të ofroja akses në distancë Windows Server Për kontabilistët. Ky është trendi modern - të punosh nga shtëpia. Shpejt e kuptova se ngacmimi i kontabilistëve me një VPN është një detyrë e pavlerë dhe mbledhja e të gjitha adresave IP për një listë të bardhë është e pamundur sepse publiku i gjerë ka adresa IP dinamike.

Prandaj, mora rrugën më të thjeshtë - e përcolla portin RDP në pjesën e jashtme. Për të fituar akses, kontabilistët tani duhet të ekzekutojnë RDP dhe të fusin emrin e hostit (përfshirë portin), emrin e përdoruesit dhe fjalëkalimin.

Në këtë artikull do të ndaj përvojën time (pozitive dhe jo aq pozitive) dhe rekomandimet.

Rreziqet

ÇfarĂ« rrezikoni duke hapur portin RDP?

1) Qasje e paautorizuar në të dhëna të ndjeshme
Nëse dikush merr me mend fjalëkalimin RDP, ai do të jetë në gjendje të marrë të dhëna që dëshironi t'i mbani private: statusi i llogarisë, bilancet, të dhënat e klientit, ...

2) Humbja e të dhënave
Për shembull, si rezultat i një virusi ransomware.
Ose një veprim i qëllimshëm nga një sulmues.

3) Humbja e stacionit të punës
Punëtorët duhet të punojnë, por sistemi është i komprometuar dhe duhet të riinstalohet/riparohet/konfigurohet.

4) Kompromis i rrjetit lokal
Nëse një sulmues ka fituar qasje në Windows-kompjuter, atëherë nga ky kompjuter ata do të jenë në gjendje të hyjnë në sisteme që janë të paarritshme nga jashtë, nga interneti. Për shembull, ndarjet e skedarëve, printerat e rrjetit, etj.

Pata një rast kur Windows Server kapi kriptografin

Ky ransomware fillimisht enkriptoi shumicën e skedarëve në diskun C: dhe më pas filloi të enkriptonte skedarët në NAS përmes rrjetit. Meqenëse NAS ishte një Synology, me pamje të konfiguruara, e rivendosa NAS në 5 minuta dhe Windows Server riinstaluar nga e para.

VĂ«zhgime dhe rekomandime

Unë po monitoroj Windows Serverme ndihmën e Winlogbeat, të cilat dërgojnë regjistra te ElasticSearch. Kibana ka disa vizualizime, dhe unë gjithashtu kam vendosur një panel me porosi.
Vetë monitorimi nuk mbron, por ndihmon në përcaktimin e masave të nevojshme.

Këtu janë disa vëzhgime:
a) RDP do të jetë i detyruar brutal.
Në një nga serverët, unë instalova RDP jo në portin standard 3389, por në 443 - mirë, do të maskohem si HTTPS. Ndoshta ia vlen të ndryshoni portin nga ai standard, por nuk do të bëjë shumë mirë. Këtu janë statistikat nga ky server:

A është e rrezikshme të mbash RDP të hapur në internet?

Mund të shihet se në një javë ka pasur pothuajse 400 përpjekje të pasuksesshme për t'u identifikuar përmes RDP.
Mund të shihet se ka pasur përpjekje për t'u identifikuar nga 55 adresa IP (disa adresa IP janë bllokuar tashmë nga unë).

Kjo sugjeron drejtpërdrejt përfundimin se ju duhet të vendosni fail2ban, por

për Windows Nuk ka një dobi të tillë.

Ka disa projekte të braktisura në Github që duket se e bëjnë këtë, por unë as që jam përpjekur t'i instaloj ato:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Ka edhe shërbime me pagesë, por nuk i kam marrë në konsideratë.

Nëse dini një mjet me burim të hapur për këtë qëllim, ju lutemi ndajeni atë në komente.

Përditësimet: Komentet sugjeruan që porti 443 është një zgjedhje e keqe dhe është më mirë të zgjidhni portat e larta (32000+), sepse 443 skanohet më shpesh dhe njohja e RDP në këtë port nuk është problem.

Update: Komentet sugjeruan se ekziston një mjet i tillë:
https://github.com/digitalruby/ipban

b) Ka disa emra përdoruesish që sulmuesit preferojnë
Shihet se kërkimi është kryer në një fjalor me emra të ndryshëm.
Por ja çfarë vura re: një numër i konsiderueshëm përpjekjesh përdorin emrin e serverit si hyrje. Rekomandim: Mos përdorni të njëjtin emër për kompjuterin dhe përdoruesin. Për më tepër, ndonjëherë duket sikur po përpiqen të analizojnë disi emrin e serverit: për shembull, për një sistem me emrin DESKTOP-DFTHD7C, përpjekjet më të shumta për t'u identifikuar janë me emrin DFTHD7C:

A është e rrezikshme të mbash RDP të hapur në internet?

Prandaj, nëse keni një kompjuter DESKTOP-MARIA, ndoshta do të përpiqeni të identifikoheni si përdorues MARIA.

Një gjë tjetër që vura re nga regjistrat: në shumicën e sistemeve, shumica e përpjekjeve për hyrje bëhen me emrin e përdoruesit "administrator". Dhe kjo nuk është rastësi, sepse në shumë versione Windows, ky përdorues ekziston. Për më tepër, nuk mund të fshihet. Kjo ua thjeshton detyrën sulmuesve: në vend që të hamendësojnë emrin e përdoruesit dhe fjalëkalimin, ata vetëm duhet ta hamendësojnë fjalëkalimin.
Nga rruga, sistemi që kapi ransomware kishte Administratorin e përdoruesit dhe fjalëkalimin Murmansk#9. Ende nuk jam i sigurt se si u hakerua ai sistem, sepse fillova të monitoroj menjëherë pas atij incidenti, por mendoj se ka gjasa që të ketë mbingarkesë.
Pra, nëse përdoruesi i Administratorit nuk mund të fshihet, atëherë çfarë duhet të bëni? Mund ta riemërtoni!

Rekomandimet nga ky paragraf:

  • mos pĂ«rdorni emrin e pĂ«rdoruesit nĂ« emrin e kompjuterit
  • sigurohuni qĂ« tĂ« mos ketĂ« pĂ«rdorues Administrator nĂ« sistem
  • pĂ«rdorni fjalĂ«kalime tĂ« forta

Kështu e vërej unë se si disa Windows Server Nën kontrollin tim, dhuna brutale ka vazhduar për rreth disa vjet tani, dhe pa sukses.

Si ta di që është i pasuksesshëm?
Sepse në pamjet e mësipërme mund të shihni se ka regjistra të thirrjeve të suksesshme RDP, të cilat përmbajnë informacionin:

  • nga e cila IP
  • nga cili kompjuter (emri i hostit)
  • emri i pĂ«rdoruesit
  • Informacioni GeoIP

Dhe unë kontrolloj rregullisht atje - nuk janë gjetur anomali.

Nga rruga, nëse një IP e caktuar po detyrohet veçanërisht e vështirë, atëherë mund të bllokoni IP-të (ose nënrrjetet) individuale si kjo në PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Nga rruga, Elastic, përveç Winlogbeat, gjithashtu ka Rritja e auditimit, i cili mund të monitorojë skedarët dhe proceset në sistem. Ekziston gjithashtu një aplikacion SIEM (Security Information & Event Management) në Kibana. I provova të dyja, por nuk pashë shumë përfitime - duket se Auditbeat do të jetë më i dobishëm për Linux sisteme, por SIEM nuk më ka treguar ende asgjë të kuptueshme.

Epo, rekomandimet përfundimtare:

  • BĂ«ni kopje rezervĂ« tĂ« rregullta automatike.
  • instaloni pĂ«rditĂ«simet e sigurisĂ« nĂ« kohĂ«n e duhur

Bonus: lista e 50 përdoruesve që përdoreshin më shpesh për përpjekjet për hyrje në RDP

"user.name: Në rënie"
Numëroj

dfthd7c (emri i hostit)
842941

winsrv1 (emri i hostit)
266525

ADMINISTRATORI
180678

administrator
163842

Administrator
53541

michael
23101

server
21983

steve
21936

john
21927

paul
21913

pritje
21909

mikrofon
21899

zyrë
21888

skaner
21887

hetoj
21867

david
21865

chris
21860

pronar
21855

menaxher
21852

administrateur
21841

brian
21839

administrator
21837

shënojë
21824

Stafi
21806

ADMIN
12748

ROOT
7772

ADMINISTRATOR
7325

SUPORT
5577

SUPPORT
5418

PERRDORUESI
4558

admin
2832

TEST
1928

mysql
1664

admin
1652

MIRESUESI
1322

PERRDORUESI1
1179

Skaner
1121

SCAN
1032

ADMINISTRATOR
842

ADMIN1
525

bACKUP
518

MySqlAdmin
518

PRANIMI
490

PERRDORUESI2
466

Temp
452

SQLADMIN
450

PERRDORUESI3
441

1
422

MANAGER
418

Pronar
410

Burimi: www.habr.com

Bleni njĂ« host tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, serverĂ« VPS VDS đŸ”„ Bleni hosting tĂ« besueshĂ«m tĂ« faqeve tĂ« internetit me mbrojtje DDoS, servera VPS VDS | ProHoster