Hangata ke balile maikutlo a hore ho boloka boema-kepe ba RDP (Remote Desktop Protocol) bo bulehetse Marang-rang ho kotsi haholo 'me ha hoa lokela ho etsoa. Empa o hloka ho fana ka phihlello ho RDP ebang ke ka VPN, kapa feela ho tsoa ho liaterese tse itseng tsa "white" IP.
Ke fana ka li-server tse 'maloa tsa Windows bakeng sa lifeme tse nyane moo ke filoeng mosebetsi oa ho fana ka phihlello e hole ho Windows Server bakeng sa liak'haonte. Ena ke mokhoa oa sejoale-joale - ho sebetsa lapeng. Ka potlako, ke ile ka hlokomela hore ho hlokofatsa li-accountant tsa VPN ke mosebetsi o se nang teboho, 'me ho bokella li-IP tsohle bakeng sa lenane le tšoeu ho ke ke ha sebetsa, hobane liaterese tsa IP tsa batho li matla.
Ka hona, ke ile ka nka tsela e bonolo - ka fetisetsa boema-kepe ba RDP kantle. Ho fumana phihlello, liak'haonte joale li hloka ho tsamaisa RDP le ho kenya lebitso la moamoheli (ho kenyeletsoa le port), lebitso la mosebelisi le password.
Sehloohong sena ke tla arolelana phihlelo ea ka (e ntle le e seng e ntle) le likhothaletso.
Likotsi
U beha kotsing efe ka ho bula boema-kepe ba RDP?
1) phihlello e sa lumelloeng ea data ea bohlokoa
Haeba motho a hakanya phasewete ea RDP, ba tla khona ho fumana data eo u batlang ho e boloka e le lekunutu: boemo ba ak'haonte, litekanyo, lintlha tsa bareki, ...
2) Ho lahleheloa ke data
Ka mohlala, ka lebaka la kokoana-hloko ea ransomware.
Kapa ketso ea ka boomo ea mohlaseli.
3) Ho lahleheloa ke sebaka sa mosebetsi
Basebeletsi ba hloka ho sebetsa, empa sistimi e sekiselitsoe mme e hloka ho khutlisoa / ho tsosolosoa / ho hlophisoa.
4) Ho sekisetsa marang-rang a lehae
Haeba mohlaseli a fumane k'homphieutha ea Windows, joale ho tloha k'homphieutheng ena o tla khona ho fumana mekhoa e sa fumaneheng ho tsoa ka ntle, ho tloha Inthaneteng. Ka mohlala, ho kenya likarolo, ho li-printer tsa marang-rang, joalo-joalo.
Ke bile le nyeoe moo Windows Server e ileng ea tšoara ransomware
mme ransomware ena e ile ea qala ho patala lifaele tse ngata ho C: drive mme ea qala ho notlela lifaele ho NAS holim'a marang-rang. Kaha NAS e ne e le Synology, e nang le linepe tse lokiselitsoeng, ke ile ka khutlisetsa NAS ka metsotso e 5, mme ka khutlisetsa Windows Server ho tloha qalong.
Maikutlo le Likhothaletso
Ke beha leihlo Windows Server ke sebelisa , e romellang lintlha ho ElasticSearch. Kibana e na le lipono tse 'maloa, hape ke thehile dashboard e tloaelehileng.
Ho beha leihlo ka bohona ha ho sireletse, empa ho thusa ho fumana mehato e hlokahalang.
Maikutlo a mang ke ana:
a) RDP e tla qobelloa ka sehlōhō.
Ho e 'ngoe ea li-server, ke kentse RDP eseng boema-kepeng bo tloaelehileng ba 3389, empa ho 443 - hantle, ke tla ikhakanya joaloka HTTPS. Mohlomong ho bohlokoa ho fetola boema-kepe ho tloha ho bo tloaelehileng, empa bo ke ke ba etsa hantle haholo. Lipalopalo tse tsoang ho seva sena ke tsena:
Ho ka bonoa hore ka beke ho bile le liteko tse ka bang 400 tse sa atleheng tsa ho kena ka RDP.
Ho ka bonoa hore ho bile le liteko tsa ho kena ho tsoa ho liaterese tsa IP tsa 55 (li-aterese tse ling tsa IP li ne li se li thibetsoe ke 'na).
Sena se fana ka maikutlo ka kotloloho qeto ea hore o hloka ho beha fail2ban, empa
Ha ho na lisebelisoa tse joalo bakeng sa Windows.
Ho na le merero e 'maloa e lahliloeng ho Github e bonahalang e etsa sena, empa ha ke so leke ho e kenya:
Ho boetse ho na le lisebelisoa tse lefuoang, empa ha ke so li nahane.
Haeba u tseba sesebelisoa se bulehileng bakeng sa morero ona, ka kopo arolelana maikutlo.
Update: Maikutlo a fana ka maikutlo a hore port 443 ke khetho e mpe, 'me ho molemo ho khetha likou tse phahameng (32000+), hobane 443 e hlahlojoa hangata,' me ho lemoha RDP boema-kepeng bona hase bothata.
b) Ho na le mabitso a mang a basebelisi ao bahlaseli ba a ratang
Ho ka bonoa hore patlisiso e etsoa bukeng e hlalosang mantsoe e nang le mabitso a fapaneng.
Empa sena ke seo ke se hlokometseng: palo e kholo ea liteko e sebelisa lebitso la seva joalo ka ho kena. Keletso: Se ke oa sebelisa lebitso le tšoanang bakeng sa komporo le mosebelisi. Ho feta moo, ka linako tse ling ho bonahala eka ba leka ho hlalosa lebitso la seva ka tsela e itseng: mohlala, bakeng sa tsamaiso e nang le lebitso la DESKTOP-DFTHD7C, liteko tse ngata tsa ho kena li na le lebitso la DFTHD7C:
Ka hona, haeba u na le komporo ea DESKTOP-MARIA, mohlomong u tla be u leka ho kena joalo ka mosebelisi oa MARIA.
Ntho e 'ngoe eo ke e hlokometseng ho tloha ho li-logs: ho litsamaiso tse ngata, boiteko bo bongata ba ho kena bo na le lebitso "mookameli". 'Me sena ha se na lebaka, hobane liphetolelong tse ngata tsa Windows, mosebelisi enoa o teng. Ho feta moo, e ke ke ea hlakoloa. Sena se nolofatsa mosebetsi bakeng sa bahlaseli: sebakeng sa ho hakanya lebitso le password, o hloka feela ho hakanya phasewete.
Ka tsela, sistimi e ts'oereng thekollo e ne e na le Motsamaisi oa mosebelisi le password ea Murmansk#9. Ke ntse ke sa tsebe hantle hore na sistimi eo e ile ea utsoa joang, hobane ke ile ka qala ho beha leihlo kamora ketsahalo eo, empa ke nahana hore ho na le monyetla oa ho feta.
Joale haeba mosebelisi oa Administrator a ke ke a hlakoloa, joale u lokela ho etsa eng? U ka e reha bocha!
Likhothaletso tse tsoang serapeng sena:
- se ke oa sebelisa lebitso la mosebelisi lebitsong la komporo
- etsa bonnete ba hore ha ho na mosebelisi oa Tsamaiso tsamaisong
- sebelisa li-password tse matla
Kahoo, esale ke shebelletse li-server tse 'maloa tsa Windows tse tlas'a taolo ea ka li qobelloa ka sehlōhō hoo e ka bang lilemo tse' maloa joale, 'me ntle le katleho.
Ke tseba joang hore ha e ea atleha?
Hobane ho li-screenshots tse kaholimo u ka bona hore ho na le lintlha tsa mehala ea RDP e atlehileng, e nang le tlhaiso-leseling:
- ho tloha ho IP
- ho tsoa komporong efe (lebitso la moamoheli)
- Lebitso la mosebedisi
- Lintlha tsa GeoIP
'Me ke hlahloba moo khafetsa - ha ho na li-anomalies tse fumanoeng.
Ha e le hantle, haeba IP e itseng e qobelloa ka sehlōhō ka ho khetheha, u ka thibela li-IP tsa motho ka mong (kapa subnets) ka tsela ena ho PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockKa tsela, Elastic, ho phaella ho Winlogbeat, e boetse e na le , e ka hlokomelang lifaele le lits'ebetso ho sistimi. Hape ho na le sesebelisoa sa SIEM (Security Information & Event Management) ho Kibana. Ke lekile ka bobeli, empa ha ke bone molemo o mongata - ho bonahala eka Auditbeat e tla ba molemo haholo bakeng sa lits'ebetso tsa Linux, mme SIEM ha e so mponts'e letho le utloahalang.
Hantle, litlhahiso tsa ho qetela:
- Etsa li-backups tsa kamehla tsa othomathiki.
- kenya Lintlafatso tsa Tšireletso ka nako e loketseng
Bonase: lenane la basebelisi ba 50 ba neng ba sebelisoa hangata bakeng sa liteko tsa ho kena ho RDP
"user.name: Ho theoha"
Baloa
dfthd7c (lebitso la moamoheli)
842941
winsrv1 (lebitso la moamoheli)
266525
MOLAOLI
180678
mookameli
163842
mohlokomeli oa
53541
Michael
23101
seva
21983
steve
21936
John
21927
paul
21913
baeti ba fihlelang
21909
Mike
21899
ofisi
21888
scanner
21887
scan ninemanga.com
21867
David
21865
Chris
21860
mong'a
21855
manejara
21852
motsamaisi
21841
brian
21839
mookameli
21837
letšoao
21824
basebetsi ba nkang
21806
ADMIN
12748
motso
7772
MOLAOLI
7325
TŠEHETSA
5577
TUPELISO
5418
MOTSOALI
4558
admin
2832
Tlhahlobo
1928
MySQL
1664
admin
1652
PELA
1322
MOSEBETSI 1
1179
SEKOLI
1121
ETSA
1032
TLHOKOMELLO
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
KAMOHELO MOHAPI
490
MOSEBETSI 2
466
TEMP
452
SQLADMIN
450
MOSEBETSI 3
441
1
422
MOLAOLI
418
mong'a
410
Source: www.habr.com