Kuring geus mindeng maca pamadegan yén ngajaga hiji RDP (Remote Desktop Protocol) port kabuka ka Internet pisan unsafe jeung teu kudu dipigawé. Tapi anjeun kedah masihan aksés ka RDP boh liwat VPN, atanapi ngan tina alamat IP "bodas" anu tangtu.
Kuring administer sababaraha Windows Server pikeun firms leutik dimana kuring geus tasked nyadiakeun aksés jauh ka Windows Server pikeun akuntan. Ieu mangrupikeun tren modéren - damel ti bumi. Cukup gancang, kuring sadar yén nyiksa akuntan VPN mangrupikeun tugas anu henteu ngahatur nuhun, sareng ngumpulkeun sadaya IP pikeun daptar bodas moal jalan, sabab alamat IP masarakat dinamis.
Ku alatan éta, kuring nyokot jalur pangbasajanna - diteruskeun port RDP ka luar. Pikeun kéngingkeun aksés, akuntan ayeuna kedah ngajalankeun RDP sareng lebetkeun hostname (kalebet port), nami pangguna sareng kecap konci.
Dina tulisan ieu kuring bakal ngabagi pangalaman kuring (positip sareng henteu positip) sareng saran.
resiko
Naon anu anjeun résiko ku muka port RDP?
1) Aksés anu henteu sah kana data sénsitip
Upami aya anu nebak sandi RDP, aranjeunna bakal tiasa nampi data anu anjeun hoyong jaga pribadi: status akun, kasaimbangan, data palanggan, ...
2) Leungitna data
Contona, salaku hasil tina virus ransomware.
Atawa tindakan anu dihaja ku panyerang.
3) Leungitna workstation
Pagawe kedah dianggo, tapi sistem ieu compromised sarta perlu reinstalled / disimpen / ngonpigurasi.
4) Kompromi jaringan lokal
Upami panyerang parantos kéngingkeun aksés kana komputer Windows, maka tina komputer ieu anjeunna bakal tiasa ngaksés sistem anu teu tiasa diaksés ti luar, tina Internét. Contona, pikeun ngabagikeun file, ka printer jaringan, jsb.
Kuring kungsi kasus dimana Windows Server bray ransomware a
sareng ransomware ieu mimiti énkripsi kalolobaan file dina drive C: teras mimiti énkripsi file dina NAS dina jaringan. Kusabab NAS éta Synology, kalawan snapshots ngonpigurasi, Kuring malikkeun NAS dina 5 menit, sarta reinstalled Windows Server ti scratch.
Observasi jeung Saran
Kuring ngawas Windows Server ngagunakeun
Ngawaskeun sorangan teu ngajaga, tapi mantuan nangtukeun ukuran perlu.
Ieu sababaraha observasi:
a) RDP bakal brute kapaksa.
Dina salah sahiji server, kuring dipasang RDP henteu dina port standar 3389, tapi dina 443 - ogé, abdi bakal nyamur sorangan salaku HTTPS. Eta meureun patut ngarobah port ti standar, tapi moal ngalakukeun teuing alus. Ieu statistik tina server ieu:
Ieu bisa ditempo yén dina saminggu aya ampir 400 usaha gagal pikeun log in via RDP.
Ieu tiasa katingal yén aya usaha pikeun log in ti 55 alamat IP (sababaraha alamat IP geus dipeungpeuk ku kuring).
Ieu langsung nunjukkeun kacindekan yén anjeun kedah nyetél fail2ban, tapi
Henteu aya utilitas sapertos kitu pikeun Windows.
Aya sababaraha proyék anu ditinggalkeun dina Github anu sigana ngalakukeun ieu, tapi kuring henteu acan nyobian masangana:
Aya ogé utiliti anu dibayar, tapi kuring henteu nganggap aranjeunna.
Upami anjeun terang utilitas open source pikeun tujuan ieu, punten bagikeun dina koméntar.
Update: Komentar ngusulkeun yén port 443 mangrupakeun pilihan goréng, tur éta hadé pikeun milih palabuhan tinggi (32000+), sabab 443 discan leuwih sering, sarta recognizing RDP on port ieu teu masalah.
b) Aya sababaraha nami pangguna anu dipikaresep ku panyerang
Ieu bisa ditempo yén pilarian dilaksanakeun dina kamus kalawan ngaran béda.
Tapi ieu anu kuring perhatikeun: sajumlah ageung usaha anu nganggo nami server salaku login. Rekomendasi: Entong nganggo nami anu sami pikeun komputer sareng pangguna. Sumawona, sakapeung sigana aranjeunna nyobian nga-parse nami server kumaha waé: contona, pikeun sistem anu nami DESKTOP-DFTHD7C, paling seueur usaha pikeun log in nyaéta nami DFTHD7C:
Sasuai, lamun boga komputer DESKTOP-MARIA, Anjeun meureun bakal nyoba asup salaku pamaké MARIA.
Hal séjén anu kuring perhatikeun tina log: dina kalolobaan sistem, kalolobaan usaha pikeun log in nyaéta nganggo nami "administrator". Sareng ieu sanés tanpa alesan, sabab dina seueur vérsi Windows, pangguna ieu aya. Leuwih ti éta, teu bisa dihapus. Ieu nyederhanakeun tugas pikeun panyerang: tibatan nebak nami sareng kecap akses, anjeun ngan ukur kedah nebak kecap konci.
Ku jalan kitu, sistem anu nyekel ransomware ngagaduhan Administrator pangguna sareng kecap konci Murmansk#9. Kuring masih teu yakin kumaha sistem ieu hacked, sabab kuring mimiti ngawaskeun ngan sanggeus kajadian éta, tapi kuring nyangka yén overkill kamungkinan.
Janten upami pangguna Administrator henteu tiasa dihapus, teras naon anu anjeun kedah laksanakeun? Anjeun tiasa ngaganti ngaran!
Rekomendasi tina paragraf ieu:
- ulah make ngaran pamaké dina ngaran komputer
- pastikeun yén teu aya pamaké Administrator dina sistem
- make kecap akses kuat
Janten, kuring parantos ningali sababaraha Server Windows anu dikadalikeun ku kuring di paksakeun salami sababaraha taun ayeuna, sareng henteu aya hasil.
Kumaha kuring terang éta gagal?
Kusabab dina Potret layar di luhur anjeun tiasa ningali yén aya log telepon RDP anu suksés, anu ngandung inpormasi:
- ti mana IP
- ti mana komputer (hostname)
- Ngaran pamaké
- Inpo GeoIP
Sareng kuring mariksa sacara teratur - henteu aya anomali anu kapendak.
Ku jalan kitu, lamun hiji IP tinangtu keur brute-dipaksa utamana teuas, mangka anjeun bisa meungpeuk IP individu (atawa subnets) kawas ieu dina PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
Ku jalan kitu, elastis, salian Winlogbeat, ogé boga
Muhun, rekomendasi ahir:
- Jieun cadangan otomatis biasa.
- masang Apdet Kaamanan dina waktosna
Bonus: daptar 50 pangguna anu paling sering dianggo pikeun usaha login RDP
"user.name: Turun"
ngitung
dfthd7c (ngaran host)
842941
winsrv1 (hostname)
266525
ADMINISTRATOR
180678
anu ngolola
163842
anu ngolola
53541
Michael
23101
server
21983
steve
21936
john
21927
paul
21913
resepsi
21909
Mike
21899
kantor
21888
scanner
21887
scan
21867
david
21865
Chris
21860
nu boga
21855
pingpinan
21852
pangurus
21841
brian
21839
administrator
21837
tanda
21824
pagawe
21806
admin
12748
akar
7772
ADMINISTRATOR
7325
sokongan
5577
Rojongan
5418
Pamaké
4558
admin
2832
nguji
1928
MySql
1664
admin
1652
TUKAR
1322
PENGGUNA1
1179
Pikeun nyeken
1121
Scan
1032
ADMINISTRATOR
842
ADMIN1
525
Nyadangkeun
518
MySqlAdmin
518
RESEP
490
PENGGUNA2
466
TEMP
452
SQLADMIN
450
PENGGUNA3
441
1
422
GURU
418
nu boga
410
sumber: www.habr.com