ProHoster > Blog > Administrasi > Naha bahaya tetep RDP kabuka dina Internét?

Naha bahaya tetep RDP kabuka dina Internét?

Kuring geus mindeng maca pamadegan yén ngajaga hiji RDP (Remote Desktop Protocol) port kabuka ka Internet pisan unsafe jeung teu kudu dipigawé. Tapi anjeun kedah masihan aksés ka RDP boh liwat VPN, atanapi ngan tina alamat IP "bodas" anu tangtu.

Kuring administer sababaraha Windows Server pikeun firms leutik dimana kuring geus tasked nyadiakeun aksés jauh ka Windows Server pikeun akuntan. Ieu mangrupikeun tren modéren - damel ti bumi. Cukup gancang, kuring sadar yén nyiksa akuntan VPN mangrupikeun tugas anu henteu ngahatur nuhun, sareng ngumpulkeun sadaya IP pikeun daptar bodas moal jalan, sabab alamat IP masarakat dinamis.

Ku alatan éta, kuring nyokot jalur pangbasajanna - diteruskeun port RDP ka luar. Pikeun kéngingkeun aksés, akuntan ayeuna kedah ngajalankeun RDP sareng lebetkeun hostname (kalebet port), nami pangguna sareng kecap konci.

Dina tulisan ieu kuring bakal ngabagi pangalaman kuring (positip sareng henteu positip) sareng saran.

resiko

Naon anu anjeun résiko ku muka port RDP?

1) Aksés anu henteu sah kana data sénsitip
Upami aya anu nebak sandi RDP, aranjeunna bakal tiasa nampi data anu anjeun hoyong jaga pribadi: status akun, kasaimbangan, data palanggan, ...

2) Leungitna data
Contona, salaku hasil tina virus ransomware.
Atawa tindakan anu dihaja ku panyerang.

3) Leungitna workstation
Pagawe kedah dianggo, tapi sistem ieu compromised sarta perlu reinstalled / disimpen / ngonpigurasi.

4) Kompromi jaringan lokal
Upami panyerang parantos kéngingkeun aksés kana komputer Windows, maka tina komputer ieu anjeunna bakal tiasa ngaksés sistem anu teu tiasa diaksés ti luar, tina Internét. Contona, pikeun ngabagikeun file, ka printer jaringan, jsb.

Kuring kungsi kasus dimana Windows Server bray ransomware a

sareng ransomware ieu mimiti énkripsi kalolobaan file dina drive C: teras mimiti énkripsi file dina NAS dina jaringan. Kusabab NAS éta Synology, kalawan snapshots ngonpigurasi, Kuring malikkeun NAS dina 5 menit, sarta reinstalled Windows Server ti scratch.

Observasi jeung Saran

Kuring ngawas Windows Server ngagunakeun Winlogbeat, nu ngirim log ka ElasticSearch. Kibana gaduh sababaraha visualisasi, sareng kuring ogé nyetél dasbor khusus.
Ngawaskeun sorangan teu ngajaga, tapi mantuan nangtukeun ukuran perlu.

Ieu sababaraha observasi:
a) RDP bakal brute kapaksa.
Dina salah sahiji server, kuring dipasang RDP henteu dina port standar 3389, tapi dina 443 - ogé, abdi bakal nyamur sorangan salaku HTTPS. Eta meureun patut ngarobah port ti standar, tapi moal ngalakukeun teuing alus. Ieu statistik tina server ieu:

Naha bahaya tetep RDP kabuka dina Internét?

Ieu bisa ditempo yén dina saminggu aya ampir 400 usaha gagal pikeun log in via RDP.
Ieu tiasa katingal yén aya usaha pikeun log in ti 55 alamat IP (sababaraha alamat IP geus dipeungpeuk ku kuring).

Ieu langsung nunjukkeun kacindekan yén anjeun kedah nyetél fail2ban, tapi

Henteu aya utilitas sapertos kitu pikeun Windows.

Aya sababaraha proyék anu ditinggalkeun dina Github anu sigana ngalakukeun ieu, tapi kuring henteu acan nyobian masangana:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Aya ogé utiliti anu dibayar, tapi kuring henteu nganggap aranjeunna.

Upami anjeun terang utilitas open source pikeun tujuan ieu, punten bagikeun dina koméntar.

Update: Komentar ngusulkeun yén port 443 mangrupakeun pilihan goréng, tur éta hadé pikeun milih palabuhan tinggi (32000+), sabab 443 discan leuwih sering, sarta recognizing RDP on port ieu teu masalah.

b) Aya sababaraha nami pangguna anu dipikaresep ku panyerang
Ieu bisa ditempo yén pilarian dilaksanakeun dina kamus kalawan ngaran béda.
Tapi ieu anu kuring perhatikeun: sajumlah ageung usaha anu nganggo nami server salaku login. Rekomendasi: Entong nganggo nami anu sami pikeun komputer sareng pangguna. Sumawona, sakapeung sigana aranjeunna nyobian nga-parse nami server kumaha waé: contona, pikeun sistem anu nami DESKTOP-DFTHD7C, paling seueur usaha pikeun log in nyaéta nami DFTHD7C:

Naha bahaya tetep RDP kabuka dina Internét?

Sasuai, lamun boga komputer DESKTOP-MARIA, Anjeun meureun bakal nyoba asup salaku pamaké MARIA.

Hal séjén anu kuring perhatikeun tina log: dina kalolobaan sistem, kalolobaan usaha pikeun log in nyaéta nganggo nami "administrator". Sareng ieu sanés tanpa alesan, sabab dina seueur vérsi Windows, pangguna ieu aya. Leuwih ti éta, teu bisa dihapus. Ieu nyederhanakeun tugas pikeun panyerang: tibatan nebak nami sareng kecap akses, anjeun ngan ukur kedah nebak kecap konci.
Ku jalan kitu, sistem anu nyekel ransomware ngagaduhan Administrator pangguna sareng kecap konci Murmansk#9. Kuring masih teu yakin kumaha sistem ieu hacked, sabab kuring mimiti ngawaskeun ngan sanggeus kajadian éta, tapi kuring nyangka yén overkill kamungkinan.
Janten upami pangguna Administrator henteu tiasa dihapus, teras naon anu anjeun kedah laksanakeun? Anjeun tiasa ngaganti ngaran!

Rekomendasi tina paragraf ieu:

  • ulah make ngaran pamaké dina ngaran komputer
  • pastikeun yén teu aya pamaké Administrator dina sistem
  • make kecap akses kuat

Janten, kuring parantos ningali sababaraha Server Windows anu dikadalikeun ku kuring di paksakeun salami sababaraha taun ayeuna, sareng henteu aya hasil.

Kumaha kuring terang éta gagal?
Kusabab dina Potret layar di luhur anjeun tiasa ningali yén aya log telepon RDP anu suksés, anu ngandung inpormasi:

  • ti mana IP
  • ti mana komputer (hostname)
  • Ngaran pamaké
  • Inpo GeoIP

Sareng kuring mariksa sacara teratur - henteu aya anomali anu kapendak.

Ku jalan kitu, lamun hiji IP tinangtu keur brute-dipaksa utamana teuas, mangka anjeun bisa meungpeuk IP individu (atawa subnets) kawas ieu dina PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Ku jalan kitu, elastis, salian Winlogbeat, ogé boga Auditbeat, anu tiasa ngawas file sareng prosés dina sistem. Aya ogé aplikasi SIEM (Inpormasi Kaamanan & Manajemén Acara) di Kibana. Kuring nyobian duanana, tapi henteu ningali seueur kauntungan - sigana Auditbeat bakal langkung mangpaat pikeun sistem Linux, sareng SIEM henteu acan nunjukkeun ka kuring anu kahartos.

Muhun, rekomendasi ahir:

  • Jieun cadangan otomatis biasa.
  • masang Apdet Kaamanan dina waktosna

Bonus: daptar 50 pangguna anu paling sering dianggo pikeun usaha login RDP

"user.name: Turun"
ngitung

dfthd7c (ngaran host)
842941

winsrv1 (hostname)
266525

ADMINISTRATOR
180678

anu ngolola
163842

anu ngolola
53541

Michael
23101

server
21983

steve
21936

john
21927

paul
21913

resepsi
21909

Mike
21899

kantor
21888

scanner
21887

scan
21867

david
21865

Chris
21860

nu boga
21855

pingpinan
21852

pangurus
21841

brian
21839

administrator
21837

tanda
21824

pagawe
21806

admin
12748

akar
7772

ADMINISTRATOR
7325

sokongan
5577

Rojongan
5418

Pamaké
4558

admin
2832

nguji
1928

MySql
1664

admin
1652

TUKAR
1322

PENGGUNA1
1179

Pikeun nyeken
1121

Scan
1032

ADMINISTRATOR
842

ADMIN1
525

Nyadangkeun
518

MySqlAdmin
518

RESEP
490

PENGGUNA2
466

TEMP
452

SQLADMIN
450

PENGGUNA3
441

1
422

GURU
418

nu boga
410

sumber: www.habr.com

Tambahkeun komentar