RDP (ரிமோட் டெஸ்க்டாப் புரோட்டோகால்) போர்ட்டை இணையத்தில் வைத்திருப்பது மிகவும் பாதுகாப்பற்றது, அதைச் செய்யக்கூடாது என்ற கருத்தை நான் அடிக்கடி படித்திருக்கிறேன். ஆனால் நீங்கள் VPN மூலமாகவோ அல்லது சில "வெள்ளை" IP முகவரிகளில் இருந்து மட்டுமே RDPக்கான அணுகலை வழங்க வேண்டும்.
கணக்காளர்களுக்கு Windows Serverக்கு தொலைநிலை அணுகலை வழங்க நான் பணிக்கப்பட்ட சிறிய நிறுவனங்களுக்கு பல Windows Serverகளை நான் நிர்வகிக்கிறேன். இது நவீன போக்கு - வீட்டிலிருந்து வேலை செய்வது. விபிஎன் கணக்காளர்களைத் துன்புறுத்துவது நன்றியற்ற பணி என்பதை மிக விரைவாக உணர்ந்தேன், மேலும் வெள்ளைப் பட்டியலுக்கான அனைத்து ஐபிகளையும் சேகரிப்பது வேலை செய்யாது, ஏனெனில் மக்களின் ஐபி முகவரிகள் மாறும்.
எனவே, நான் எளிமையான வழியை எடுத்தேன் - RDP போர்ட்டை வெளியில் அனுப்பினேன். அணுகலைப் பெற, கணக்காளர்கள் இப்போது RDP ஐ இயக்க வேண்டும் மற்றும் ஹோஸ்ட் பெயர் (போர்ட் உட்பட), பயனர் பெயர் மற்றும் கடவுச்சொல்லை உள்ளிட வேண்டும்.
இந்த கட்டுரையில் எனது அனுபவத்தையும் (நேர்மறை மற்றும் மிகவும் நேர்மறையாக இல்லை) மற்றும் பரிந்துரைகளையும் பகிர்ந்து கொள்கிறேன்.
அபாயங்கள்
RDP போர்ட்டை திறப்பதன் மூலம் நீங்கள் என்ன ஆபத்தில் இருக்கிறீர்கள்?
1) முக்கியமான தரவுகளுக்கான அங்கீகரிக்கப்படாத அணுகல்
RDP கடவுச்சொல்லை யாராவது யூகித்தால், நீங்கள் தனிப்பட்டதாக வைத்திருக்க விரும்பும் தரவை அவர்களால் பெற முடியும்: கணக்கு நிலை, நிலுவைகள், வாடிக்கையாளர் தரவு, ...
2) தரவு இழப்பு
உதாரணமாக, ransomware வைரஸின் விளைவாக.
அல்லது தாக்குபவர் வேண்டுமென்றே செய்த செயல்.
3) பணிநிலையம் இழப்பு
தொழிலாளர்கள் வேலை செய்ய வேண்டும், ஆனால் கணினி சமரசம் செய்யப்பட்டுள்ளது மற்றும் மீண்டும் நிறுவப்பட வேண்டும்/மீட்டமைக்கப்பட வேண்டும்/கட்டமைக்க வேண்டும்.
4) உள்ளூர் நெட்வொர்க்கின் சமரசம்
தாக்குபவர் விண்டோஸ் கணினிக்கான அணுகலைப் பெற்றிருந்தால், இந்த கணினியிலிருந்து அவர் வெளியில் இருந்து, இணையத்திலிருந்து அணுக முடியாத அமைப்புகளை அணுக முடியும். எடுத்துக்காட்டாக, பங்குகளை தாக்கல் செய்ய, பிணைய அச்சுப்பொறிகளுக்கு, முதலியன.
விண்டோஸ் சர்வர் ஒரு ransomware ஐப் பிடித்த ஒரு வழக்கு எனக்கு இருந்தது
இந்த ransomware முதலில் C: டிரைவில் உள்ள பெரும்பாலான கோப்புகளை என்க்ரிப்ட் செய்து பின்னர் NAS இல் உள்ள கோப்புகளை நெட்வொர்க்கில் என்க்ரிப்ட் செய்யத் தொடங்கியது. NAS சினாலஜி என்பதால், ஸ்னாப்ஷாட்கள் கட்டமைக்கப்பட்டதால், நான் 5 நிமிடங்களில் NAS ஐ மீட்டெடுத்தேன், மேலும் புதிதாக விண்டோஸ் சர்வரை மீண்டும் நிறுவினேன்.
அவதானிப்புகள் மற்றும் பரிந்துரைகள்
நான் விண்டோஸ் சர்வர்களை பயன்படுத்தி கண்காணிக்கிறேன் , இது எலாஸ்டிக் தேடலுக்கு பதிவுகளை அனுப்புகிறது. கிபானாவில் பல காட்சிப்படுத்தல்கள் உள்ளன, மேலும் தனிப்பயன் டாஷ்போர்டையும் அமைத்துள்ளேன்.
கண்காணிப்பு தன்னைப் பாதுகாக்காது, ஆனால் தேவையான நடவடிக்கைகளைத் தீர்மானிக்க உதவுகிறது.
இங்கே சில அவதானிப்புகள் உள்ளன:
a) RDP மிருகத்தனமாக கட்டாயப்படுத்தப்படும்.
சேவையகங்களில் ஒன்றில், நான் RDP ஐ ஸ்டாண்டர்ட் போர்ட் 3389 இல் நிறுவவில்லை, ஆனால் 443 இல் - சரி, நான் HTTPS ஆக மாறுவேடமிடுவேன். போர்ட்டை நிலையான ஒன்றிலிருந்து மாற்றுவது மதிப்புக்குரியது, ஆனால் அது அதிக நன்மை செய்யாது. இந்த சேவையகத்தின் புள்ளிவிவரங்கள் இங்கே:
ஒரு வாரத்தில் RDP வழியாக உள்நுழைய கிட்டத்தட்ட 400 முயற்சிகள் தோல்வியடைந்ததைக் காணலாம்.
55 ஐபி முகவரிகளிலிருந்து உள்நுழைய முயற்சிகள் நடந்ததைக் காணலாம் (சில ஐபி முகவரிகள் ஏற்கனவே என்னால் தடுக்கப்பட்டன).
நீங்கள் fail2ban அமைக்க வேண்டும் என்ற முடிவை இது நேரடியாகப் பரிந்துரைக்கிறது, ஆனால்
விண்டோஸுக்கு அத்தகைய பயன்பாடு இல்லை.
Github இல் கைவிடப்பட்ட சில திட்டங்கள் உள்ளன, ஆனால் நான் அவற்றை நிறுவ முயற்சிக்கவில்லை:
கட்டண பயன்பாடுகளும் உள்ளன, ஆனால் நான் அவற்றைக் கருத்தில் கொள்ளவில்லை.
இந்த நோக்கத்திற்காக ஒரு திறந்த மூல பயன்பாடு உங்களுக்குத் தெரிந்தால், கருத்துகளில் பகிர்ந்து கொள்ளவும்.
புதுப்பிக்கப்பட்டது: கருத்துக்கள் போர்ட் 443 ஒரு மோசமான தேர்வு என்று பரிந்துரைத்தது, மேலும் உயர் போர்ட்களை (32000+) தேர்வு செய்வது நல்லது, ஏனெனில் 443 அடிக்கடி ஸ்கேன் செய்யப்படுகிறது, மேலும் இந்த போர்ட்டில் RDP ஐ அங்கீகரிப்பது ஒரு பிரச்சனையல்ல.
b) தாக்குபவர்கள் விரும்பும் சில பயனர்பெயர்கள் உள்ளன
வெவ்வேறு பெயர்களில் அகராதியில் தேடுதல் மேற்கொள்ளப்படுவதைக் காணலாம்.
ஆனால் இங்கே நான் கவனித்தேன்: கணிசமான எண்ணிக்கையிலான முயற்சிகள் சர்வர் பெயரை உள்நுழைவாகப் பயன்படுத்துகின்றன. பரிந்துரை: கணினிக்கும் பயனருக்கும் ஒரே பெயரைப் பயன்படுத்த வேண்டாம். மேலும், சில சமயங்களில் அவர்கள் சர்வர் பெயரை எப்படியாவது அலச முயற்சிப்பது போல் தெரிகிறது: எடுத்துக்காட்டாக, டெஸ்க்டாப்-டிஎஃப்டிஎச்டி7சி என்ற பெயரில் உள்ள கணினிக்கு, டிஎஃப்டிஎச்டி7சி என்ற பெயரில் உள்நுழைவதற்கான முயற்சிகள் அதிகம்:
அதன்படி, உங்களிடம் டெஸ்க்டாப்-மரியா கணினி இருந்தால், ஒருவேளை நீங்கள் மரியா பயனராக உள்நுழைய முயற்சிப்பீர்கள்.
பதிவுகளில் இருந்து நான் கவனித்த மற்றொரு விஷயம்: பெரும்பாலான கணினிகளில், உள்நுழைவதற்கான பெரும்பாலான முயற்சிகள் "நிர்வாகி" என்ற பெயரில் இருக்கும். இது காரணமின்றி இல்லை, ஏனெனில் விண்டோஸின் பல பதிப்புகளில், இந்த பயனர் இருக்கிறார். மேலும், அதை நீக்க முடியாது. இது தாக்குபவர்களுக்கான பணியை எளிதாக்குகிறது: பெயர் மற்றும் கடவுச்சொல்லை யூகிப்பதற்கு பதிலாக, நீங்கள் கடவுச்சொல்லை மட்டுமே யூகிக்க வேண்டும்.
மூலம், ransomware ஐப் பிடித்த கணினியில் பயனர் நிர்வாகி மற்றும் கடவுச்சொல் Murmansk#9 இருந்தது. அந்த சிஸ்டம் எப்படி ஹேக் செய்யப்பட்டது என்று எனக்கு இன்னும் உறுதியாகத் தெரியவில்லை, ஏனென்றால் அந்தச் சம்பவத்திற்குப் பிறகுதான் நான் கண்காணிக்க ஆரம்பித்தேன், ஆனால் மிகைப்படுத்தல் சாத்தியம் என்று நினைக்கிறேன்.
நிர்வாகி பயனரை நீக்க முடியாவிட்டால், நீங்கள் என்ன செய்ய வேண்டும்? நீங்கள் அதை மறுபெயரிடலாம்!
இந்த பத்தியில் இருந்து பரிந்துரைகள்:
- கணினி பெயரில் பயனர் பெயரை பயன்படுத்த வேண்டாம்
- கணினியில் நிர்வாகி பயனர் இல்லை என்பதை உறுதிப்படுத்தவும்
- வலுவான கடவுச்சொற்களைப் பயன்படுத்தவும்
எனவே, எனது கட்டுப்பாட்டில் உள்ள பல விண்டோஸ் சர்வர்கள் இப்போது சுமார் இரண்டு ஆண்டுகளாக முரட்டுத்தனமாக நிர்பந்திக்கப்படுவதையும், வெற்றியில்லாமல் இருப்பதையும் பார்த்து வருகிறேன்.
அது வெற்றியடையவில்லை என்பதை நான் எப்படி அறிவது?
ஏனெனில் மேலே உள்ள ஸ்கிரீன்ஷாட்களில் வெற்றிகரமான RDP அழைப்புகளின் பதிவுகள் இருப்பதைக் காணலாம், அதில் தகவல்கள் உள்ளன:
- அதில் இருந்து ஐ.பி
- எந்த கணினியிலிருந்து (புரவலன் பெயர்)
- பயனர் பெயர்
- ஜியோஐபி தகவல்
நான் அங்கு தவறாமல் சரிபார்க்கிறேன் - எந்த முரண்பாடுகளும் கண்டறியப்படவில்லை.
மூலம், ஒரு குறிப்பிட்ட ஐபி குறிப்பாக கடினமாக அழுத்தப்பட்டால், பவர்ஷெல்லில் இது போன்ற தனிப்பட்ட ஐபிகளை (அல்லது சப்நெட்கள்) நீங்கள் தடுக்கலாம்:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockமூலம், எலாஸ்டிக், Winlogbeat கூடுதலாக உள்ளது , இது கணினியில் கோப்புகள் மற்றும் செயல்முறைகளை கண்காணிக்க முடியும். கிபானாவில் SIEM (பாதுகாப்பு தகவல் மற்றும் நிகழ்வு மேலாண்மை) பயன்பாடும் உள்ளது. நான் இரண்டையும் முயற்சித்தேன், ஆனால் அதிக பலனைக் காணவில்லை - Linux கணினிகளுக்கு Auditbeat மிகவும் பயனுள்ளதாக இருக்கும் என்று தெரிகிறது, மேலும் SIEM எனக்கு இன்னும் புரியும்படியான எதையும் காட்டவில்லை.
சரி, இறுதி பரிந்துரைகள்:
- வழக்கமான தானியங்கி காப்புப்பிரதிகளை உருவாக்கவும்.
- பாதுகாப்பு புதுப்பிப்புகளை சரியான நேரத்தில் நிறுவவும்
போனஸ்: RDP உள்நுழைவு முயற்சிகளுக்கு பெரும்பாலும் பயன்படுத்தப்பட்ட 50 பயனர்களின் பட்டியல்
"user.name: இறங்கு"
கவுண்ட்
dfthd7c (புரவலன் பெயர்)
842941
winsrv1 (புரவலன் பெயர்)
266525
நிர்வாகி
180678
நிர்வாகி
163842
நிர்வாகி
53541
மைக்கேல்
23101
சர்வர்
21983
ஸ்டீவ்
21936
ஜான்
21927
பால்
21913
வரவேற்பு
21909
மைக்
21899
அலுவலகம்
21888
ஸ்கேனர்
21887
ஸ்கேன்
21867
டேவிட்
21865
கிறிஸ்
21860
உரிமையாளர்
21855
மேலாளர்
21852
நிர்வாகி
21841
பிரையன்
21839
நிர்வாகி
21837
குறி
21824
ஊழியர்கள்
21806
நிர்வாகி
12748
வேர்
7772
நிர்வாகி
7325
ஆதரவு
5577
ஆதரவு
5418
பயனர்
4558
நிர்வாகம்
2832
சோதனை
1928
MySql
1664
நிர்வாகம்
1652
விருந்தாளி
1322
USER1
1179
ஸ்கேனர்
1121
ஸ்கேன்
1032
நிர்வாகி
842
நிர்வாகி1
525
மாற்றுக்
518
MySqlAdmin
518
வரவேற்பு
490
USER2
466
தற்காலிக
452
SQLADMIN
450
USER3
441
1
422
மேலாளர்
418
உரிமையாளர்
410
ஆதாரம்: www.habr.com