Mara nyingi nimesoma maoni kwamba kuweka bandari ya RDP (Itifaki ya Eneo-kazi la Mbali) wazi kwenye Mtandao sio salama sana na haifai kufanywa. Lakini unahitaji kutoa ufikiaji wa RDP ama kupitia VPN, au kutoka kwa anwani fulani za IP "nyeupe".
Ninasimamia Seva kadhaa za Windows kwa makampuni madogo ambapo nimepewa jukumu la kutoa ufikiaji wa mbali kwa Windows Server kwa wahasibu. Hii ni mwenendo wa kisasa - kufanya kazi kutoka nyumbani. Haraka sana, niligundua kuwa kuwatesa wahasibu wa VPN ni kazi isiyo na shukrani, na kukusanya IP zote za orodha nyeupe haitafanya kazi, kwa sababu anwani za IP za watu zina nguvu.
Kwa hivyo, nilichukua njia rahisi - kusambaza bandari ya RDP kwa nje. Ili kupata ufikiaji, wahasibu sasa wanahitaji kuendesha RDP na kuingiza jina la mwenyeji (pamoja na bandari), jina la mtumiaji na nywila.
Katika makala hii nitashiriki uzoefu wangu (chanya na sio mzuri) na mapendekezo.
Hatari
Je, unahatarisha nini kwa kufungua bandari ya RDP?
1) Ufikiaji usioidhinishwa wa data nyeti
Mtu akikisia nenosiri la RDP, ataweza kupata data ambayo ungependa kuweka faragha: hali ya akaunti, salio, data ya mteja, ...
2) Upotezaji wa data
Kwa mfano, kama matokeo ya virusi vya ukombozi.
Au kitendo cha makusudi cha mshambuliaji.
3) Kupoteza kituo cha kazi
Wafanyakazi wanahitaji kufanya kazi, lakini mfumo umeathirika na unahitaji kusakinishwa upya/kurejeshwa/kusanidiwa.
4) Maelewano ya mtandao wa ndani
Ikiwa mshambuliaji amepata upatikanaji wa kompyuta ya Windows, basi kutoka kwa kompyuta hii ataweza kufikia mifumo ambayo haipatikani kutoka nje, kutoka kwenye mtandao. Kwa mfano, kuweka hisa, kwa vichapishaji vya mtandao, nk.
Nilikuwa na kesi ambapo Windows Server ilipata ransomware
na programu hii ya ukombozi ilisimbwa kwa njia fiche faili nyingi kwenye C: drive na kisha kuanza kusimba faili kwenye NAS kupitia mtandao. Kwa kuwa NAS ilikuwa Synology, na vijipicha vilivyosanidiwa, nilirejesha NAS katika dakika 5, na kusakinisha tena Windows Server kutoka mwanzo.
Uchunguzi na Mapendekezo
Ninafuatilia Seva za Windows kwa kutumia
Ufuatiliaji yenyewe haulinde, lakini husaidia kuamua hatua muhimu.
Hapa kuna maoni kadhaa:
a) RDP italazimishwa kinyama.
Kwenye moja ya seva, niliweka RDP sio kwenye bandari ya kawaida 3389, lakini kwa 443 - vizuri, nitajificha kama HTTPS. Labda inafaa kubadilisha bandari kutoka kwa ile ya kawaida, lakini haitafanya vizuri sana. Hapa kuna takwimu kutoka kwa seva hii:
Inaweza kuonekana kuwa katika wiki moja kulikuwa na karibu majaribio 400 ambayo hayakufanikiwa kuingia kupitia RDP.
Inaweza kuonekana kuwa kulikuwa na majaribio ya kuingia kutoka kwa anwani za IP 55 (baadhi ya anwani za IP tayari zimezuiwa na mimi).
Hii inaonyesha moja kwa moja hitimisho kwamba unahitaji kuweka fail2ban, lakini
Hakuna matumizi kama haya kwa Windows.
Kuna miradi kadhaa iliyoachwa kwenye Github ambayo inaonekana kufanya hivi, lakini sijajaribu hata kuisakinisha:
Pia kuna huduma za kulipwa, lakini sijazizingatia.
Ikiwa unajua matumizi ya chanzo huria kwa madhumuni haya, tafadhali shiriki kwenye maoni.
Update: Maoni yalipendekeza kuwa bandari 443 ni chaguo mbaya, na ni bora kuchagua bandari za juu (32000+), kwa sababu 443 inachunguzwa mara nyingi zaidi, na kutambua RDP kwenye bandari hii sio tatizo.
b) Kuna baadhi ya majina ya watumiaji ambayo washambuliaji wanapendelea
Inaweza kuonekana kuwa utafutaji unafanywa katika kamusi yenye majina tofauti.
Lakini hii ndio niliyogundua: idadi kubwa ya majaribio ni kutumia jina la seva kama kuingia. Pendekezo: Usitumie jina moja kwa kompyuta na mtumiaji. Kwa kuongezea, wakati mwingine inaonekana kama wanajaribu kuchanganua jina la seva kwa njia fulani: kwa mfano, kwa mfumo ulio na jina DESKTOP-DFTHD7C, majaribio mengi ya kuingia ni kwa jina DFTHD7C:
Ipasavyo, ikiwa una kompyuta ya DESKTOP-MARIA, labda utakuwa unajaribu kuingia kama mtumiaji wa MARIA.
Jambo lingine nililoona kutoka kwa magogo: kwenye mifumo mingi, majaribio mengi ya kuingia yana jina "msimamizi". Na hii sio bila sababu, kwa sababu katika matoleo mengi ya Windows, mtumiaji huyu yupo. Aidha, haiwezi kufutwa. Hii hurahisisha kazi kwa washambuliaji: badala ya kubahatisha jina na nenosiri, unahitaji tu kukisia nenosiri.
Kwa njia, mfumo ambao ulikamata ransomware ulikuwa na Msimamizi wa mtumiaji na nenosiri la Murmansk#9. Bado sina uhakika jinsi mfumo huo ulivyodukuliwa, kwa sababu nilianza kufuatilia mara tu baada ya tukio hilo, lakini nadhani kwamba kuna uwezekano wa kupindukia.
Kwa hivyo ikiwa mtumiaji wa Msimamizi hawezi kufutwa, basi unapaswa kufanya nini? Unaweza kuipa jina jipya!
Mapendekezo kutoka kwa aya hii:
- usitumie jina la mtumiaji katika jina la kompyuta
- hakikisha kuwa hakuna mtumiaji wa Msimamizi kwenye mfumo
- tumia manenosiri yenye nguvu
Kwa hivyo, nimekuwa nikitazama Seva kadhaa za Windows chini ya udhibiti wangu zikilazimishwa kinyama kwa takriban miaka kadhaa sasa, na bila mafanikio.
Nitajuaje kuwa haikufaulu?
Kwa sababu katika picha za skrini hapo juu unaweza kuona kwamba kuna kumbukumbu za simu za RDP zilizofaulu, ambazo zina habari:
- ambayo IP
- kutoka kwa kompyuta gani (jina la mwenyeji)
- jina la mtumiaji
- Maelezo ya GeoIP
Na mimi huangalia huko mara kwa mara - hakuna makosa ambayo yamepatikana.
Kwa njia, ikiwa IP fulani inalazimishwa kikatili sana, basi unaweza kuzuia IP za kibinafsi (au subnets) kama hii kwenye PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
Kwa njia, Elastic, pamoja na Winlogbeat, pia ina
Kweli, mapendekezo ya mwisho:
- Fanya nakala za kawaida za kiotomatiki.
- sakinisha Usasisho wa Usalama kwa wakati ufaao
Bonasi: orodha ya watumiaji 50 ambao walitumiwa mara nyingi kwa majaribio ya kuingia kwenye RDP
"jina la mtumiaji: Kushuka"
Hesabu
dfthd7c (jina la mwenyeji)
842941
winsrv1 (jina la mwenyeji)
266525
Msimamizi
180678
msimamizi
163842
msimamizi
53541
michael
23101
server
21983
steve
21936
john
21927
paul
21913
mapokezi
21909
mike
21899
ofisi
21888
kuchanganua
21887
Scan
21867
david
21865
chris
21860
mmiliki
21855
meneja
21852
administrateur
21841
brian
21839
msimamizi
21837
alama ya
21824
wafanyakazi
21806
ADMIN
12748
Mizizi
7772
MSIMAMIZI
7325
SUPPORT
5577
Kusaidia
5418
USER
4558
admin
2832
JARIBIO
1928
Mysql
1664
Admin
1652
Jaribu
1322
MTUMIAJI1
1179
SANA
1121
SCAN
1032
MSIMAMIZI
842
ADMIN1
525
BURE
518
MySqlAdmin
518
MAPOKEZI
490
MTUMIAJI2
466
Jaribio
452
SQLADMIN
450
MTUMIAJI3
441
1
422
MENEJA
418
MMILIKI
410
Chanzo: mapenzi.com