ProHoster > Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Mara nyingi nimesoma maoni kwamba kuweka bandari ya RDP (Itifaki ya Eneo-kazi la Mbali) wazi kwenye Mtandao sio salama sana na haifai kufanywa. Lakini unahitaji kutoa ufikiaji wa RDP ama kupitia VPN, au kutoka kwa anwani fulani za IP "nyeupe".

Ninasimamia kadhaa Windows Server kwa makampuni madogo ambapo nilipewa jukumu la kutoa ufikiaji wa mbali kwa Windows Server Kwa wahasibu. Huo ndio mtindo wa kisasa—kufanya kazi kutoka nyumbani. Niligundua haraka kwamba kuwanyanyasa wahasibu kwa kutumia VPN ni kazi isiyo na shukrani, na kukusanya anwani zote za IP kwa orodha nyeupe haiwezekani kwa sababu umma kwa ujumla una anwani za IP zinazobadilika.

Kwa hivyo, nilichukua njia rahisi - kusambaza bandari ya RDP kwa nje. Ili kupata ufikiaji, wahasibu sasa wanahitaji kuendesha RDP na kuingiza jina la mwenyeji (pamoja na bandari), jina la mtumiaji na nywila.

Katika makala hii nitashiriki uzoefu wangu (chanya na sio mzuri) na mapendekezo.

Hatari

Je, unahatarisha nini kwa kufungua bandari ya RDP?

1) Ufikiaji usioidhinishwa wa data nyeti
Mtu akikisia nenosiri la RDP, ataweza kupata data ambayo ungependa kuweka faragha: hali ya akaunti, salio, data ya mteja, ...

2) Upotezaji wa data
Kwa mfano, kama matokeo ya virusi vya ukombozi.
Au kitendo cha makusudi cha mshambuliaji.

3) Kupoteza kituo cha kazi
Wafanyakazi wanahitaji kufanya kazi, lakini mfumo umeathirika na unahitaji kusakinishwa upya/kurejeshwa/kusanidiwa.

4) Maelewano ya mtandao wa ndani
Ikiwa mshambuliaji amepata ufikiaji wa Windows-kompyuta, kisha kutoka kwa kompyuta hii wataweza kufikia mifumo ambayo haipatikani nje, kupitia mtandao. Kwa mfano, kushiriki faili, vichapishi vya mtandao, n.k.

Nilikuwa na kesi wakati Windows Server alimkamata mpiga picha wa siri

Ransomware hii ilisimba faili nyingi kwenye kiendeshi cha C: kwanza, na kisha ikaanza kusimba faili kwenye NAS kupitia mtandao. Kwa kuwa NAS ilikuwa Synology, ikiwa na picha zilizosanidiwa, nilirejesha NAS katika dakika 5, na Windows Server imesakinishwa tena kuanzia mwanzo.

Uchunguzi na Mapendekezo

Ninafuatilia Windows Serverkwa msaada wa Winlogbeat, ambayo hutuma kumbukumbu kwa ElasticSearch. Kibana ina taswira kadhaa, na pia niliweka dashibodi maalum.
Ufuatiliaji yenyewe haulinde, lakini husaidia kuamua hatua muhimu.

Hapa kuna maoni kadhaa:
a) RDP italazimishwa kinyama.
Kwenye moja ya seva, niliweka RDP sio kwenye bandari ya kawaida 3389, lakini kwa 443 - vizuri, nitajificha kama HTTPS. Labda inafaa kubadilisha bandari kutoka kwa ile ya kawaida, lakini haitafanya vizuri sana. Hapa kuna takwimu kutoka kwa seva hii:

Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Inaweza kuonekana kuwa katika wiki moja kulikuwa na karibu majaribio 400 ambayo hayakufanikiwa kuingia kupitia RDP.
Inaweza kuonekana kuwa kulikuwa na majaribio ya kuingia kutoka kwa anwani za IP 55 (baadhi ya anwani za IP tayari zimezuiwa na mimi).

Hii inaonyesha moja kwa moja hitimisho kwamba unahitaji kuweka fail2ban, lakini

kwa Windows Hakuna manufaa kama hayo.

Kuna miradi kadhaa iliyoachwa kwenye Github ambayo inaonekana kufanya hivi, lakini sijajaribu hata kuisakinisha:
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block

Pia kuna huduma za kulipwa, lakini sijazizingatia.

Ikiwa unajua matumizi ya chanzo huria kwa madhumuni haya, tafadhali shiriki kwenye maoni.

Update: Maoni yalipendekeza kuwa bandari 443 ni chaguo mbaya, na ni bora kuchagua bandari za juu (32000+), kwa sababu 443 inachunguzwa mara nyingi zaidi, na kutambua RDP kwenye bandari hii sio tatizo.

Update: Maoni yalipendekeza kuwa matumizi kama haya yapo:
https://github.com/digitalruby/ipban

b) Kuna baadhi ya majina ya watumiaji ambayo washambuliaji wanapendelea
Inaweza kuonekana kuwa utafutaji unafanywa katika kamusi yenye majina tofauti.
Lakini hii ndio niliyogundua: idadi kubwa ya majaribio ni kutumia jina la seva kama kuingia. Pendekezo: Usitumie jina moja kwa kompyuta na mtumiaji. Kwa kuongezea, wakati mwingine inaonekana kama wanajaribu kuchanganua jina la seva kwa njia fulani: kwa mfano, kwa mfumo ulio na jina DESKTOP-DFTHD7C, majaribio mengi ya kuingia ni kwa jina DFTHD7C:

Je, ni hatari kuweka RDP wazi kwenye Mtandao?

Ipasavyo, ikiwa una kompyuta ya DESKTOP-MARIA, labda utakuwa unajaribu kuingia kama mtumiaji wa MARIA.

Jambo lingine nililogundua kutoka kwa kumbukumbu: kwenye mifumo mingi, majaribio mengi ya kuingia hufanywa na jina la mtumiaji "msimamizi." Na hii si bahati mbaya, kwa sababu katika matoleo mengi Windows, mtumiaji huyu yupo. Zaidi ya hayo, hawezi kufutwa. Hii hurahisisha kazi kwa washambuliaji: badala ya kukisia jina la mtumiaji na nenosiri, wanahitaji tu kukisia nenosiri.
Kwa njia, mfumo ambao ulikamata ransomware ulikuwa na Msimamizi wa mtumiaji na nenosiri la Murmansk#9. Bado sina uhakika jinsi mfumo huo ulivyodukuliwa, kwa sababu nilianza kufuatilia mara tu baada ya tukio hilo, lakini nadhani kwamba kuna uwezekano wa kupindukia.
Kwa hivyo ikiwa mtumiaji wa Msimamizi hawezi kufutwa, basi unapaswa kufanya nini? Unaweza kuipa jina jipya!

Mapendekezo kutoka kwa aya hii:

  • usitumie jina la mtumiaji katika jina la kompyuta
  • hakikisha kuwa hakuna mtumiaji wa Msimamizi kwenye mfumo
  • tumia manenosiri yenye nguvu

Hivi ndivyo ninavyoona jinsi kadhaa Windows Server Chini ya udhibiti wangu, kulazimisha watu kwa nguvu kumekuwa kukiendelea kwa takriban miaka michache sasa, na bila mafanikio.

Nitajuaje kuwa haikufaulu?
Kwa sababu katika picha za skrini hapo juu unaweza kuona kwamba kuna kumbukumbu za simu za RDP zilizofaulu, ambazo zina habari:

  • ambayo IP
  • kutoka kwa kompyuta gani (jina la mwenyeji)
  • jina la mtumiaji
  • Maelezo ya GeoIP

Na mimi huangalia huko mara kwa mara - hakuna makosa ambayo yamepatikana.

Kwa njia, ikiwa IP fulani inalazimishwa kikatili sana, basi unaweza kuzuia IP za kibinafsi (au subnets) kama hii kwenye PowerShell:

New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Kwa njia, Elastic, pamoja na Winlogbeat, pia ina Kiwango cha ukaguzi, ambayo inaweza kufuatilia faili na michakato kwenye mfumo. Pia kuna programu ya SIEM (Habari za Usalama na Usimamizi wa Matukio) huko Kibana. Nilijaribu zote mbili, lakini sikuona faida kubwa—inaonekana Auditbeat itakuwa muhimu zaidi kwa Linux mifumo, lakini SIEM haijanionyesha chochote kinachoeleweka bado.

Kweli, mapendekezo ya mwisho:

  • Fanya nakala za kawaida za kiotomatiki.
  • sakinisha Usasisho wa Usalama kwa wakati ufaao

Bonasi: orodha ya watumiaji 50 ambao walitumiwa mara nyingi kwa majaribio ya kuingia kwenye RDP

"jina la mtumiaji: Inashuka"
Hesabu

dfthd7c (jina la mwenyeji)
842941

winsrv1 (jina la mwenyeji)
266525

Msimamizi
180678

msimamizi
163842

msimamizi
53541

michael
23101

server
21983

steve
21936

john
21927

paul
21913

mapokezi
21909

mike
21899

ofisi
21888

kuchanganua
21887

Scan
21867

david
21865

chris
21860

mmiliki
21855

meneja
21852

administrateur
21841

brian
21839

msimamizi
21837

alama ya
21824

wafanyakazi
21806

ADMIN
12748

Mizizi
7772

MSIMAMIZI
7325

SUPPORT
5577

Kusaidia
5418

USER
4558

admin
2832

JARIBIO
1928

Mysql
1664

Admin
1652

Jaribu
1322

MTUMIAJI1
1179

SANA
1121

SCAN
1032

MSIMAMIZI
842

ADMIN1
525

BURE
518

MySqlAdmin
518

MAPOKEZI
490

MTUMIAJI2
466

Jaribio
452

SQLADMIN
450

MTUMIAJI3
441

1
422

MENEJA
418

MMILIKI
410

Chanzo: mapenzi.com

Nunua upangishaji wa kuaminika wa tovuti zilizo na ulinzi wa DDoS, seva za VPS VDS 🔥 Nunua upangishaji wa tovuti unaoaminika kwa ulinzi wa DDoS, seva za VPS VDS | ProHoster