ProHoster > blog > Utawala > Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Mara nyingi nimesoma maoni kwamba kuweka bandari ya RDP (Itifaki ya Eneo-kazi la Mbali) wazi kwenye Mtandao sio salama sana na haifai kufanywa. Lakini unahitaji kutoa ufikiaji wa RDP ama kupitia VPN, au kutoka kwa anwani fulani za IP "nyeupe".

Ninasimamia Seva kadhaa za Windows kwa makampuni madogo ambapo nimepewa jukumu la kutoa ufikiaji wa mbali kwa Windows Server kwa wahasibu. Hii ni mwenendo wa kisasa - kufanya kazi kutoka nyumbani. Haraka sana, niligundua kuwa kuwatesa wahasibu wa VPN ni kazi isiyo na shukrani, na kukusanya IP zote za orodha nyeupe haitafanya kazi, kwa sababu anwani za IP za watu zina nguvu.

Kwa hivyo, nilichukua njia rahisi - kusambaza bandari ya RDP kwa nje. Ili kupata ufikiaji, wahasibu sasa wanahitaji kuendesha RDP na kuingiza jina la mwenyeji (pamoja na bandari), jina la mtumiaji na nywila.

Katika makala hii nitashiriki uzoefu wangu (chanya na sio mzuri) na mapendekezo.

Hatari

Je, unahatarisha nini kwa kufungua bandari ya RDP?

1) Ufikiaji usioidhinishwa wa data nyeti
Mtu akikisia nenosiri la RDP, ataweza kupata data ambayo ungependa kuweka faragha: hali ya akaunti, salio, data ya mteja, ...

2) Upotezaji wa data
Kwa mfano, kama matokeo ya virusi vya ukombozi.
Au kitendo cha makusudi cha mshambuliaji.

3) Kupoteza kituo cha kazi
Wafanyakazi wanahitaji kufanya kazi, lakini mfumo umeathirika na unahitaji kusakinishwa upya/kurejeshwa/kusanidiwa.

4) Maelewano ya mtandao wa ndani
Ikiwa mshambuliaji amepata upatikanaji wa kompyuta ya Windows, basi kutoka kwa kompyuta hii ataweza kufikia mifumo ambayo haipatikani kutoka nje, kutoka kwenye mtandao. Kwa mfano, kuweka hisa, kwa vichapishaji vya mtandao, nk.

Nilikuwa na kesi ambapo Windows Server ilipata ransomware

na programu hii ya ukombozi ilisimbwa kwa njia fiche faili nyingi kwenye C: drive na kisha kuanza kusimba faili kwenye NAS kupitia mtandao. Kwa kuwa NAS ilikuwa Synology, na vijipicha vilivyosanidiwa, nilirejesha NAS katika dakika 5, na kusakinisha tena Windows Server kutoka mwanzo.

Uchunguzi na Mapendekezo

Ninafuatilia Seva za Windows kwa kutumia Winlogbeat, ambayo hutuma kumbukumbu kwa ElasticSearch. Kibana ina taswira kadhaa, na pia niliweka dashibodi maalum.
Ufuatiliaji yenyewe haulinde, lakini husaidia kuamua hatua muhimu.

Hapa kuna maoni kadhaa:
a) RDP italazimishwa kinyama.
Kwenye moja ya seva, niliweka RDP sio kwenye bandari ya kawaida 3389, lakini kwa 443 - vizuri, nitajificha kama HTTPS. Labda inafaa kubadilisha bandari kutoka kwa ile ya kawaida, lakini haitafanya vizuri sana. Hapa kuna takwimu kutoka kwa seva hii:

Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Inaweza kuonekana kuwa katika wiki moja kulikuwa na karibu majaribio 400 ambayo hayakufanikiwa kuingia kupitia RDP.
Inaweza kuonekana kuwa kulikuwa na majaribio ya kuingia kutoka kwa anwani za IP 55 (baadhi ya anwani za IP tayari zimezuiwa na mimi).

Hii inaonyesha moja kwa moja hitimisho kwamba unahitaji kuweka fail2ban, lakini

Hakuna matumizi kama haya kwa Windows.

Kuna miradi kadhaa iliyoachwa kwenye Github ambayo inaonekana kufanya hivi, lakini sijajaribu hata kuisakinisha:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Pia kuna huduma za kulipwa, lakini sijazizingatia.

Ikiwa unajua matumizi ya chanzo huria kwa madhumuni haya, tafadhali shiriki kwenye maoni.

Update: Maoni yalipendekeza kuwa bandari 443 ni chaguo mbaya, na ni bora kuchagua bandari za juu (32000+), kwa sababu 443 inachunguzwa mara nyingi zaidi, na kutambua RDP kwenye bandari hii sio tatizo.

b) Kuna baadhi ya majina ya watumiaji ambayo washambuliaji wanapendelea
Inaweza kuonekana kuwa utafutaji unafanywa katika kamusi yenye majina tofauti.
Lakini hii ndio niliyogundua: idadi kubwa ya majaribio ni kutumia jina la seva kama kuingia. Pendekezo: Usitumie jina moja kwa kompyuta na mtumiaji. Kwa kuongezea, wakati mwingine inaonekana kama wanajaribu kuchanganua jina la seva kwa njia fulani: kwa mfano, kwa mfumo ulio na jina DESKTOP-DFTHD7C, majaribio mengi ya kuingia ni kwa jina DFTHD7C:

Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Ipasavyo, ikiwa una kompyuta ya DESKTOP-MARIA, labda utakuwa unajaribu kuingia kama mtumiaji wa MARIA.

Jambo lingine nililoona kutoka kwa magogo: kwenye mifumo mingi, majaribio mengi ya kuingia yana jina "msimamizi". Na hii sio bila sababu, kwa sababu katika matoleo mengi ya Windows, mtumiaji huyu yupo. Aidha, haiwezi kufutwa. Hii hurahisisha kazi kwa washambuliaji: badala ya kubahatisha jina na nenosiri, unahitaji tu kukisia nenosiri.
Kwa njia, mfumo ambao ulikamata ransomware ulikuwa na Msimamizi wa mtumiaji na nenosiri la Murmansk#9. Bado sina uhakika jinsi mfumo huo ulivyodukuliwa, kwa sababu nilianza kufuatilia mara tu baada ya tukio hilo, lakini nadhani kwamba kuna uwezekano wa kupindukia.
Kwa hivyo ikiwa mtumiaji wa Msimamizi hawezi kufutwa, basi unapaswa kufanya nini? Unaweza kuipa jina jipya!

Mapendekezo kutoka kwa aya hii:

  • usitumie jina la mtumiaji katika jina la kompyuta
  • hakikisha kuwa hakuna mtumiaji wa Msimamizi kwenye mfumo
  • tumia manenosiri yenye nguvu

Kwa hivyo, nimekuwa nikitazama Seva kadhaa za Windows chini ya udhibiti wangu zikilazimishwa kinyama kwa takriban miaka kadhaa sasa, na bila mafanikio.

Nitajuaje kuwa haikufaulu?
Kwa sababu katika picha za skrini hapo juu unaweza kuona kwamba kuna kumbukumbu za simu za RDP zilizofaulu, ambazo zina habari:

  • ambayo IP
  • kutoka kwa kompyuta gani (jina la mwenyeji)
  • jina la mtumiaji
  • Maelezo ya GeoIP

Na mimi huangalia huko mara kwa mara - hakuna makosa ambayo yamepatikana.

Kwa njia, ikiwa IP fulani inalazimishwa kikatili sana, basi unaweza kuzuia IP za kibinafsi (au subnets) kama hii kwenye PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Kwa njia, Elastic, pamoja na Winlogbeat, pia ina Kiwango cha ukaguzi, ambayo inaweza kufuatilia faili na michakato kwenye mfumo. Pia kuna programu ya SIEM (Habari ya Usalama na Usimamizi wa Tukio) huko Kibana. Nilijaribu zote mbili, lakini sikuona faida nyingi - inaonekana kama Auditbeat itakuwa muhimu zaidi kwa mifumo ya Linux, na SIEM bado haijanionyesha chochote kinachoeleweka.

Kweli, mapendekezo ya mwisho:

  • Fanya nakala za kawaida za kiotomatiki.
  • sakinisha Usasisho wa Usalama kwa wakati ufaao

Bonasi: orodha ya watumiaji 50 ambao walitumiwa mara nyingi kwa majaribio ya kuingia kwenye RDP

"jina la mtumiaji: Kushuka"
Hesabu

dfthd7c (jina la mwenyeji)
842941

winsrv1 (jina la mwenyeji)
266525

Msimamizi
180678

msimamizi
163842

msimamizi
53541

michael
23101

server
21983

steve
21936

john
21927

paul
21913

mapokezi
21909

mike
21899

ofisi
21888

kuchanganua
21887

Scan
21867

david
21865

chris
21860

mmiliki
21855

meneja
21852

administrateur
21841

brian
21839

msimamizi
21837

alama ya
21824

wafanyakazi
21806

ADMIN
12748

Mizizi
7772

MSIMAMIZI
7325

SUPPORT
5577

Kusaidia
5418

USER
4558

admin
2832

JARIBIO
1928

Mysql
1664

Admin
1652

Jaribu
1322

MTUMIAJI1
1179

SANA
1121

SCAN
1032

MSIMAMIZI
842

ADMIN1
525

BURE
518

MySqlAdmin
518

MAPOKEZI
490

MTUMIAJI2
466

Jaribio
452

SQLADMIN
450

MTUMIAJI3
441

1
422

MENEJA
418

MMILIKI
410

Chanzo: mapenzi.com

Kuongeza maoni