Често сам читао мишљење да је држање порта РДП (Протокол удаљене радне површине) отвореним за Интернет веома несигурно и да га не треба чинити. Али морате дати приступ РДП-у или преко ВПН-а, или само са одређених „белих“ ИП адреса.
Администрирам неколико Виндовс сервера за мале фирме где сам добио задатак да обезбедим даљински приступ Виндовс серверу за рачуновође. Ово је модеран тренд - рад од куће. Врло брзо сам схватио да је мучење ВПН рачуновођа незахвалан задатак, а прикупљање свих ИП адреса за белу листу неће радити, јер су ИП адресе људи динамичне.
Стога сам узео најједноставнији пут - проследио РДП порт напоље. Да би добили приступ, рачуновође сада треба да покрену РДП и унесу име хоста (укључујући порт), корисничко име и лозинку.
У овом чланку ћу поделити своје искуство (позитивно и не тако позитивно) и препоруке.
Ризици
Шта ризикујете отварањем РДП порта?
1) Неовлашћен приступ осетљивим подацима
Ако неко погоди РДП лозинку, моћи ће да добије податке које желите да задржите приватним: статус налога, стања, податке о клијентима, ...
2) Губитак података
На пример, као резултат рансомваре вируса.
Или намерна акција нападача.
3) Губитак радне станице
Радници морају да раде, али систем је компромитован и треба га поново инсталирати/вратити/конфигурисати.
4) Компромитација локалне мреже
Ако је нападач добио приступ Виндовс рачунару, онда ће са овог рачунара моћи да приступи системима који су недоступни споља, са Интернета. На пример, на дељење датотека, на мрежне штампаче итд.
Имао сам случај када је Виндовс Сервер ухватио рансомваре
и овај рансомваре је прво шифровао већину датотека на Ц: диску, а затим је почео да шифрује датотеке на НАС-у преко мреже. Пошто је НАС био Синологи, са конфигурисаним снимцима, вратио сам НАС за 5 минута и поново инсталирао Виндовс Сервер од нуле.
Запажања и препоруке
Пратим Виндовс сервере користећи
Само праћење не штити, али помаже у одређивању потребних мера.
Ево неких запажања:
а) РДП ће бити грубо присиљен.
На једном од сервера сам инсталирао РДП не на стандардни порт 3389, већ на 443 - па, прерушићу се у ХТТПС. Вероватно је вредно променити порт са стандардног, али то неће донети много користи. Ево статистике са овог сервера:
Види се да је за недељу дана било скоро 400 неуспешних покушаја пријављивања преко РДП-а.
Види се да је било покушаја пријављивања са 55 ИП адресе (неке ИП адресе сам већ блокирао).
Ово директно сугерише закључак да треба да подесите фаил2бан, али
Не постоји такав услужни програм за Виндовс.
Постоји неколико напуштених пројеката на Гитхубу за које се чини да то раде, али нисам чак ни покушао да их инсталирам:
Постоје и плаћене комуналије, али их нисам разматрао.
Ако знате услужни програм отвореног кода за ову сврху, поделите га у коментарима.
Ажурирај: Коментари су сугерисали да је порт 443 лош избор, а боље је изабрати високе портове (32000+), јер се 443 чешће скенира, а препознавање РДП-а на овом порту није проблем.
б) Постоје одређена корисничка имена која нападачи преферирају
Види се да се претрага врши у речнику са различитим називима.
Али ево шта сам приметио: значајан број покушаја користи име сервера као пријаву. Препорука: Немојте користити исто име за рачунар и корисника. Штавише, понекад изгледа као да покушавају некако да рашчлане име сервера: на пример, за систем са именом ДЕСКТОП-ДФТХД7Ц, највише покушаја да се пријаве су са именом ДФТХД7Ц:
Сходно томе, ако имате ДЕСКТОП-МАРИА рачунар, вероватно ћете покушавати да се пријавите као МАРИА корисник.
Још једна ствар коју сам приметио из евиденције: на већини система већина покушаја пријављивања је са именом „администратор“. И то није без разлога, јер у многим верзијама Виндовс-а овај корисник постоји. Штавише, не може се избрисати. Ово поједностављује задатак нападачима: уместо да погађате име и лозинку, потребно је само да погодите лозинку.
Иначе, систем који је ухватио рансомваре имао је корисника Администратор и лозинку Мурманск#9. Још увек нисам сигуран како је тај систем хакован, јер сам почео да пратим одмах након тог инцидента, али мислим да је то претеривање вероватно.
Дакле, ако се администраторски корисник не може избрисати, шта онда треба да урадите? Можете га преименовати!
Препоруке из овог става:
- не користите корисничко име у имену рачунара
- уверите се да на систему нема корисника администратора
- користите јаке лозинке
Дакле, већ отприлике неколико година гледам како неколико Виндовс сервера под мојом контролом грубо форсирају, и безуспешно.
Како да знам да је неуспешно?
Зато што на горњим снимцима екрана можете видети да постоје евиденције успешних РДП позива, које садрже информације:
- са којег ИП
- са ког рачунара (име хоста)
- Корисничко име
- ГеоИП информације
И тамо редовно проверавам - аномалије нису пронађене.
Успут, ако се одређена ИП адреса грубо форсира посебно тешко, онда можете блокирати појединачне ИП адресе (или подмреже) овако у ПоверСхелл-у:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
Иначе, Еластиц, поред Винлогбеат-а, има и
Па, коначне препоруке:
- Правите редовне аутоматске резервне копије.
- инсталирајте Безбедносне исправке на време
Бонус: листа од 50 корисника који су најчешће коришћени за покушаје пријављивања на РДП
"усер.наме: опадајуће"
Рачунати
дфтхд7ц (име хоста)
842941
винсрв1 (име хоста)
266525
АДМИНИСТРАТОР
180678
Администратор
163842
администратор
53541
Мајкл
23101
сервер
21983
Стеве
21936
Јохн
21927
Павле
21913
пријем
21909
микрофон
21899
канцеларија
21888
скенер
21887
скенирати
21867
Давид
21865
Крис
21860
власник
21855
менаџер
21852
администратор
21841
Бриан
21839
администратор
21837
ознака
21824
особље
21806
АДМИН
12748
РООТ
7772
АДМИНИСТРАДОР
7325
ПОДРШКА
5577
ПОДРШКА
5418
КОРИСНИК
4558
Администратор
2832
ТЕСТ
1928
МиСкл
1664
админ
1652
ГОСТ
1322
КОРИСНИК1
1179
СКЕНЕР
1121
СЦАН
1032
АДМИНИСТРАТОР
842
АДМИН1
525
БАЦКУП
518
МиСклАдмин
518
ПРИЈЕМ
490
КОРИСНИК2
466
ТЕМПЕРАТУРА
452
СКЛАДМИН
450
КОРИСНИК3
441
1
422
МАНАГЕР
418
ВЛАСНИК
410
Извор: ввв.хабр.цом