RDP (రిమోట్ డెస్క్టాప్ ప్రోటోకాల్) పోర్ట్ను ఇంటర్నెట్కి తెరిచి ఉంచడం చాలా సురక్షితం మరియు అలా చేయకూడదనే అభిప్రాయాన్ని నేను తరచుగా చదివాను. కానీ మీరు VPN ద్వారా లేదా నిర్దిష్ట "తెలుపు" IP చిరునామాల నుండి మాత్రమే RDPకి యాక్సెస్ ఇవ్వాలి.
నేను అకౌంటెంట్ల కోసం విండోస్ సర్వర్కు రిమోట్ యాక్సెస్ను అందించే పనిలో ఉన్న చిన్న సంస్థల కోసం అనేక విండోస్ సర్వర్లను నిర్వహిస్తాను. ఇది ఆధునిక ధోరణి - ఇంటి నుండి పని చేయడం. VPN అకౌంటెంట్లను హింసించడం కృతజ్ఞత లేని పని అని నేను చాలా త్వరగా గ్రహించాను మరియు వైట్ లిస్ట్ కోసం అన్ని IPలను సేకరించడం పని చేయదు, ఎందుకంటే వ్యక్తుల IP చిరునామాలు డైనమిక్గా ఉంటాయి.
అందువల్ల, నేను సరళమైన మార్గాన్ని తీసుకున్నాను - RDP పోర్ట్ను బయటికి ఫార్వార్డ్ చేసాను. యాక్సెస్ పొందడానికి, అకౌంటెంట్లు ఇప్పుడు RDPని అమలు చేయాలి మరియు హోస్ట్ పేరు (పోర్ట్తో సహా), వినియోగదారు పేరు మరియు పాస్వర్డ్ను నమోదు చేయాలి.
ఈ ఆర్టికల్లో నేను నా అనుభవాన్ని (పాజిటివ్ మరియు అంత పాజిటివ్ కాదు) మరియు సిఫార్సులను పంచుకుంటాను.
నష్టాలు
RDP పోర్ట్ తెరవడం ద్వారా మీరు ఏమి రిస్క్ చేస్తున్నారు?
1) సున్నితమైన డేటాకు అనధికారిక యాక్సెస్
ఎవరైనా RDP పాస్వర్డ్ను ఊహించినట్లయితే, మీరు ప్రైవేట్గా ఉంచాలనుకుంటున్న డేటాను వారు పొందగలరు: ఖాతా స్థితి, నిల్వలు, కస్టమర్ డేటా, ...
2) డేటా నష్టం
ఉదాహరణకు, ransomware వైరస్ ఫలితంగా.
లేదా దాడి చేసే వ్యక్తి ఉద్దేశపూర్వక చర్య.
3) వర్క్స్టేషన్ కోల్పోవడం
కార్మికులు పని చేయాలి, కానీ సిస్టమ్ రాజీ పడింది మరియు మళ్లీ ఇన్స్టాల్ చేయాలి/పునరుద్ధరించబడాలి/కాన్ఫిగర్ చేయాలి.
4) స్థానిక నెట్వర్క్ యొక్క రాజీ
దాడి చేసే వ్యక్తి Windows కంప్యూటర్కు ప్రాప్యతను పొందినట్లయితే, ఈ కంప్యూటర్ నుండి అతను బయటి నుండి ఇంటర్నెట్ నుండి యాక్సెస్ చేయలేని సిస్టమ్లను యాక్సెస్ చేయగలడు. ఉదాహరణకు, షేర్లను ఫైల్ చేయడానికి, నెట్వర్క్ ప్రింటర్లకు మొదలైనవి.
Windows సర్వర్ ransomwareని పట్టుకున్న సందర్భం నాకు ఉంది
మరియు ఈ ransomware మొదట C: డ్రైవ్లోని చాలా ఫైల్లను ఎన్క్రిప్ట్ చేసి ఆపై నెట్వర్క్లో NASలోని ఫైల్లను గుప్తీకరించడం ప్రారంభించింది. NAS సైనాలజీ అయినందున, స్నాప్షాట్లు కాన్ఫిగర్ చేయబడినందున, నేను NASని 5 నిమిషాల్లో పునరుద్ధరించాను మరియు మొదటి నుండి Windows సర్వర్ని మళ్లీ ఇన్స్టాల్ చేసాను.
పరిశీలనలు మరియు సిఫార్సులు
నేను ఉపయోగించి విండోస్ సర్వర్లను పర్యవేక్షిస్తాను , ఇది సాగే శోధనకు లాగ్లను పంపుతుంది. కిబానాలో అనేక విజువలైజేషన్లు ఉన్నాయి మరియు నేను కస్టమ్ డ్యాష్బోర్డ్ను కూడా సెటప్ చేసాను.
పర్యవేక్షణ స్వయంగా రక్షించదు, కానీ అవసరమైన చర్యలను నిర్ణయించడంలో సహాయపడుతుంది.
ఇక్కడ కొన్ని పరిశీలనలు ఉన్నాయి:
ఎ) RDP క్రూరమైన బలవంతంగా ఉంటుంది.
సర్వర్లలో ఒకదానిలో, నేను RDPని స్టాండర్డ్ పోర్ట్ 3389లో కాకుండా 443లో ఇన్స్టాల్ చేసాను - సరే, నేను HTTPS వలె మారువేషంలో ఉంటాను. పోర్ట్ను స్టాండర్డ్ వన్ నుండి మార్చడం చాలా విలువైనది, కానీ ఇది చాలా మంచిది కాదు. ఈ సర్వర్ నుండి గణాంకాలు ఇక్కడ ఉన్నాయి:
ఒక వారంలో RDP ద్వారా లాగిన్ చేయడానికి దాదాపు 400 విఫల ప్రయత్నాలు జరిగినట్లు చూడవచ్చు.
55 IP చిరునామాల నుండి లాగిన్ చేయడానికి ప్రయత్నాలు జరిగినట్లు చూడవచ్చు (కొన్ని IP చిరునామాలు నేను ఇప్పటికే బ్లాక్ చేయబడ్డాయి).
ఇది నేరుగా మీరు fail2ban సెట్ చేయవలసిన ముగింపును సూచిస్తుంది, కానీ
Windows కోసం అటువంటి యుటిలిటీ లేదు.
గితుబ్లో కొన్ని పాడుబడిన ప్రాజెక్ట్లు ఉన్నాయి, అవి ఇలా చేస్తున్నాయి, కానీ నేను వాటిని ఇన్స్టాల్ చేయడానికి కూడా ప్రయత్నించలేదు:
చెల్లింపు వినియోగాలు కూడా ఉన్నాయి, కానీ నేను వాటిని పరిగణించలేదు.
ఈ ప్రయోజనం కోసం మీకు ఓపెన్ సోర్స్ యుటిలిటీ తెలిస్తే, దయచేసి వ్యాఖ్యలలో భాగస్వామ్యం చేయండి.
నవీకరణ: వ్యాఖ్యలు పోర్ట్ 443 చెడు ఎంపిక అని సూచించాయి మరియు అధిక పోర్ట్లను (32000+) ఎంచుకోవడం ఉత్తమం, ఎందుకంటే 443 తరచుగా స్కాన్ చేయబడుతుంది మరియు ఈ పోర్ట్లో RDPని గుర్తించడం సమస్య కాదు.
బి) దాడి చేసేవారు ఇష్టపడే నిర్దిష్ట వినియోగదారు పేర్లు ఉన్నాయి
వివిధ పేర్లతో డిక్షనరీలో వెతకడం గమనించవచ్చు.
కానీ నేను గమనించినది ఇక్కడ ఉంది: గణనీయమైన సంఖ్యలో ప్రయత్నాలు సర్వర్ పేరును లాగిన్గా ఉపయోగిస్తున్నాయి. సిఫార్సు: కంప్యూటర్ మరియు వినియోగదారు కోసం ఒకే పేరును ఉపయోగించవద్దు. అంతేకాకుండా, కొన్నిసార్లు వారు సర్వర్ పేరును ఎలాగైనా అన్వయించడానికి ప్రయత్నిస్తున్నట్లు కనిపిస్తోంది: ఉదాహరణకు, DESKTOP-DFTHD7C పేరుతో ఉన్న సిస్టమ్ కోసం, లాగిన్ చేయడానికి ఎక్కువ ప్రయత్నాలు DFTHD7C పేరుతో ఉంటాయి:
దీని ప్రకారం, మీరు డెస్క్టాప్-మారియా కంప్యూటర్ని కలిగి ఉన్నట్లయితే, మీరు బహుశా MARIA యూజర్గా లాగిన్ అవ్వడానికి ప్రయత్నిస్తున్నారు.
లాగ్ల నుండి నేను గమనించిన మరొక విషయం: చాలా సిస్టమ్లలో, లాగిన్ చేయడానికి చాలా ప్రయత్నాలు "అడ్మినిస్ట్రేటర్" పేరుతో ఉంటాయి. మరియు ఇది కారణం లేకుండా కాదు, ఎందుకంటే Windows యొక్క అనేక సంస్కరణల్లో, ఈ వినియోగదారు ఉనికిలో ఉన్నారు. అంతేకాక, ఇది తొలగించబడదు. ఇది దాడి చేసేవారి కోసం పనిని సులభతరం చేస్తుంది: పేరు మరియు పాస్వర్డ్ను ఊహించడానికి బదులుగా, మీరు పాస్వర్డ్ను మాత్రమే ఊహించాలి.
మార్గం ద్వారా, ransomwareని పట్టుకున్న సిస్టమ్లో యూజర్ అడ్మినిస్ట్రేటర్ మరియు పాస్వర్డ్ Murmansk#9 ఉంది. ఆ సిస్టమ్ ఎలా హ్యాక్ చేయబడిందో నాకు ఇంకా ఖచ్చితంగా తెలియదు, ఎందుకంటే ఆ సంఘటన తర్వాత నేను పర్యవేక్షించడం ప్రారంభించాను, కానీ ఓవర్కిల్ అవకాశం ఉందని నేను భావిస్తున్నాను.
కాబట్టి అడ్మినిస్ట్రేటర్ వినియోగదారుని తొలగించలేకపోతే, మీరు ఏమి చేయాలి? మీరు దాని పేరు మార్చవచ్చు!
ఈ పేరా నుండి సిఫార్సులు:
- కంప్యూటర్ పేరులో వినియోగదారు పేరును ఉపయోగించవద్దు
- సిస్టమ్లో అడ్మినిస్ట్రేటర్ యూజర్ లేరని నిర్ధారించుకోండి
- బలమైన పాస్వర్డ్లను ఉపయోగించండి
కాబట్టి, నేను నా నియంత్రణలో ఉన్న అనేక విండోస్ సర్వర్లను ఇప్పుడు సుమారు రెండు సంవత్సరాలుగా క్రూరంగా బలవంతంగా మరియు విజయవంతం కాకుండా చూస్తున్నాను.
అది విఫలమైందని నాకు ఎలా తెలుసు?
ఎందుకంటే ఎగువన ఉన్న స్క్రీన్షాట్లలో మీరు విజయవంతమైన RDP కాల్ల లాగ్లు ఉన్నట్లు చూడవచ్చు, అందులో సమాచారాన్ని కలిగి ఉంటుంది:
- దీని నుండి IP
- ఏ కంప్యూటర్ నుండి (హోస్ట్ పేరు)
- యూజర్ పేరు
- జియోఐపి సమాచారం
మరియు నేను అక్కడ క్రమం తప్పకుండా తనిఖీ చేస్తాను - క్రమరాహిత్యాలు కనుగొనబడలేదు.
మార్గం ద్వారా, నిర్దిష్ట IP ప్రత్యేకించి కఠినంగా బలవంతంగా ఉంటే, మీరు PowerShellలో ఇలాంటి వ్యక్తిగత IPలను (లేదా సబ్నెట్లు) బ్లాక్ చేయవచ్చు:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockమార్గం ద్వారా, సాగే, Winlogbeat పాటు, కూడా ఉంది , ఇది సిస్టమ్లోని ఫైల్లు మరియు ప్రక్రియలను పర్యవేక్షించగలదు. కిబానాలో SIEM (సెక్యూరిటీ ఇన్ఫర్మేషన్ & ఈవెంట్ మేనేజ్మెంట్) అప్లికేషన్ కూడా ఉంది. నేను రెండింటినీ ప్రయత్నించాను, కానీ పెద్దగా ప్రయోజనం కనిపించలేదు - Linux సిస్టమ్లకు Auditbeat మరింత ఉపయోగకరంగా ఉన్నట్లు కనిపిస్తోంది మరియు SIEM నాకు ఇంకా అర్థమయ్యేలా ఏమీ చూపలేదు.
బాగా, చివరి సిఫార్సులు:
- సాధారణ ఆటోమేటిక్ బ్యాకప్లను చేయండి.
- భద్రతా నవీకరణలను సకాలంలో ఇన్స్టాల్ చేయండి
బోనస్: RDP లాగిన్ ప్రయత్నాల కోసం ఎక్కువగా ఉపయోగించే 50 మంది వినియోగదారుల జాబితా
"user.name: అవరోహణ"
కౌంట్
dfthd7c (హోస్ట్ పేరు)
842941
winsrv1 (హోస్ట్ పేరు)
266525
అడ్మినిస్ట్రేటర్
180678
నిర్వాహకుడు
163842
అడ్మినిస్ట్రేటర్
53541
michael
23101
సర్వర్
21983
steve
21936
john
21927
paul
21913
రిసెప్షన్
21909
మైక్
21899
ఆఫీసు
21888
స్కానర్
21887
స్కాన్
21867
డేవిడ్
21865
క్రిస్
21860
యజమాని
21855
నిర్వాహకుడు
21852
నిర్వాహకుడు
21841
బ్రియాన్
21839
నిర్వాహకుడు
21837
మార్క్
21824
సిబ్బంది
21806
అడ్మిన్
12748
రూట్
7772
అడ్మినిస్ట్రేటర్
7325
మద్దతు
5577
మద్దతు
5418
USER
4558
అడ్మిన్
2832
టెస్ట్
1928
mysql
1664
అడ్మిన్
1652
అతిథిని
1322
USER1
1179
స్కానర్
1121
స్కాన్
1032
అడ్మినిస్ట్రేటర్
842
నిర్వాహకుడు 1
525
బ్యాకప్
518
MySqlAdmin
518
రిసెప్షన్
490
USER2
466
TEMP
452
SQLADMIN
450
USER3
441
1
422
నిర్వాహకుడు
418
OWNER
410
మూలం: www.habr.com