RDP (Uzak Masaüstü Protokolü) bağlantı noktasını internete açık tutmanın çok güvensiz olduğu ve yapılmaması gerektiği görüşünü sık sık okudum. Ancak RDP'ye bir VPN aracılığıyla veya yalnızca belirli "beyaz" IP adreslerinden erişim vermeniz gerekir.
Muhasebeciler için Windows Server'a uzaktan erişim sağlamakla görevlendirildiğim küçük firmalar için çeşitli Windows Sunucularını yönetiyorum. Bu modern trend; evden çalışmak. Oldukça hızlı bir şekilde, VPN muhasebecilerine eziyet etmenin nankör bir iş olduğunu ve insanların IP adresleri dinamik olduğundan tüm IP'leri beyaz liste için toplamanın işe yaramayacağını fark ettim.
Bu nedenle en basit rotayı seçtim - RDP bağlantı noktasını dışarıya ilettim. Erişim elde etmek için muhasebecilerin artık RDP'yi çalıştırmaları ve ana bilgisayar adını (bağlantı noktası dahil), kullanıcı adını ve şifreyi girmeleri gerekiyor.
Bu yazıda deneyimlerimi (olumlu ve pek olumlu değil) ve önerilerimi paylaşacağım.
Riskler
RDP bağlantı noktasını açarak neyi riske atıyorsunuz?
1) Hassas verilere yetkisiz erişim
Birisi RDP şifresini tahmin ederse gizli tutmak istediğiniz verileri elde edebilecektir: hesap durumu, bakiyeler, müşteri verileri, ...
2) Veri kaybı
Örneğin, bir fidye yazılımı virüsünün bir sonucu olarak.
Veya bir saldırganın kasıtlı bir eylemi.
3) İş istasyonunun kaybı
Çalışanların çalışması gerekiyor ancak sistemin güvenliği ihlal edilmiş durumda ve yeniden kurulması/geri yüklenmesi/yapılandırılması gerekiyor.
4) Yerel ağın ele geçirilmesi
Bir saldırgan bir Windows bilgisayarına erişim sağladıysa, bu bilgisayardan dışarıdan erişilemeyen sistemlere internetten erişebilecektir. Örneğin dosya paylaşımlarına, ağ yazıcılarına vb.
Windows Server'ın bir fidye yazılımı yakaladığı bir durumla karşılaştım
ve bu fidye yazılımı önce C: sürücüsündeki dosyaların çoğunu şifreledi, ardından ağ üzerinden NAS'taki dosyaları şifrelemeye başladı. NAS, anlık görüntüler yapılandırılmış şekilde Synology olduğundan, NAS'ı 5 dakika içinde geri yükledim ve Windows Server'ı sıfırdan yeniden yükledim.
Gözlem ve Öneriler
Windows Sunucularını kullanarak izliyorum Günlükleri ElasticSearch'e gönderen. Kibana'nın çeşitli görselleştirmeleri var ve ayrıca özel bir kontrol paneli de oluşturdum.
İzlemenin kendisi koruma sağlamaz ancak gerekli önlemlerin belirlenmesine yardımcı olur.
İşte bazı gözlemler:
a) RDP kaba kuvvetle uygulanacaktır.
Sunuculardan birinde, RDP'yi 3389 numaralı standart bağlantı noktasına değil, 443'e yükledim - peki, kendimi HTTPS olarak gizleyeceğim. Muhtemelen bağlantı noktasını standart bağlantı noktasından değiştirmeye değer, ancak pek bir faydası olmayacak. İşte bu sunucudaki istatistikler:
Bir hafta içinde RDP aracılığıyla neredeyse 400 başarısız oturum açma girişiminin gerçekleştiği görülüyor.
55 IP adresinden giriş yapılmaya çalışıldığı görülüyor (bazı IP adresleri tarafımdan zaten engellenmiştir).
Bu doğrudan fail2ban'ı ayarlamanız gerektiği sonucunu ortaya koyuyor, ancak
Windows için böyle bir yardımcı program yoktur.
Github'da bunu yapan birkaç terkedilmiş proje var, ancak onları yüklemeyi bile denemedim:
Ücretli hizmetler de var, ancak onları dikkate almadım.
Bu amaç için açık kaynaklı bir yardımcı program biliyorsanız, lütfen yorumlarda paylaşın.
Güncelleme: Yorumlar, 443 numaralı bağlantı noktasının kötü bir seçim olduğunu ve yüksek bağlantı noktalarını (32000+) seçmenin daha iyi olduğunu, çünkü 443 daha sık tarandığını ve bu bağlantı noktasında RDP'nin tanınmasının sorun olmadığını öne sürdü.
b) Saldırganların tercih ettiği belirli kullanıcı adları vardır
Aramanın farklı isimlerdeki bir sözlükte yapıldığı görülüyor.
Ancak şunu fark ettim: önemli sayıda deneme, oturum açma adı olarak sunucu adını kullanıyor. Öneri: Bilgisayar ve kullanıcı için aynı adı kullanmayın. Üstelik bazen bir şekilde sunucu adını ayrıştırmaya çalışıyorlar gibi görünüyor: örneğin DESKTOP-DFTHD7C adlı bir sistem için en çok oturum açma denemesi DFTHD7C adıyla yapılıyor:
Buna göre MASAÜSTÜ-MARİA bilgisayarınız varsa muhtemelen MARIA kullanıcısı olarak giriş yapmaya çalışacaksınız.
Günlüklerden fark ettiğim bir diğer şey: çoğu sistemde oturum açma girişimlerinin çoğu "yönetici" adıyla yapılıyor. Ve bu sebepsiz değil çünkü Windows'un birçok sürümünde bu kullanıcı var. Üstelik silinemez. Bu, saldırganların işini kolaylaştırır: Bir adı ve parolayı tahmin etmek yerine yalnızca parolayı tahmin etmeniz gerekir.
Bu arada, fidye yazılımını yakalayan sistemde Yönetici kullanıcı adı ve Murmansk#9 şifresi vardı. Sistemin nasıl saldırıya uğradığından hala emin değilim çünkü o olaydan hemen sonra izlemeye başladım, ancak aşırıya kaçma ihtimalinin yüksek olduğunu düşünüyorum.
Peki Yönetici kullanıcı silinemezse ne yapmalısınız? Yeniden adlandırabilirsiniz!
Bu paragraftan öneriler:
- kullanıcı adını bilgisayar adında kullanmayın
- sistemde Yönetici kullanıcı olmadığından emin olun
- güçlü şifreler kullanın
Bu yüzden, yaklaşık birkaç yıldır kontrolüm altındaki birkaç Windows Sunucusunun kaba kuvvetle zorlandığını ve başarılı olamadığını izliyorum.
Başarısız olduğunu nasıl anlarım?
Çünkü yukarıdaki ekran görüntülerinde başarılı RDP çağrılarının aşağıdaki bilgileri içeren günlüklerinin olduğunu görebilirsiniz:
- hangi IP'den
- hangi bilgisayardan (ana bilgisayar adı)
- Kullanıcı adı
- GeoIP bilgileri
Ve orayı düzenli olarak kontrol ediyorum - herhangi bir anormallik bulunamadı.
Bu arada, belirli bir IP'ye özellikle sert bir şekilde kaba kuvvet uygulanıyorsa, PowerShell'de aşağıdaki gibi tek tek IP'leri (veya alt ağları) engelleyebilirsiniz:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockBu arada Elastic, Winlogbeat'in yanı sıra Sistemdeki dosyaları ve işlemleri izleyebilen. Kibana'da ayrıca SIEM (Güvenlik Bilgileri ve Olay Yönetimi) uygulaması da bulunmaktadır. Her ikisini de denedim ama pek bir fayda göremedim; Görünüşe göre Auditbeat Linux sistemleri için daha kullanışlı olacak ve SIEM bana henüz anlaşılır bir şey göstermedi.
Peki, son tavsiyeler:
- Düzenli otomatik yedeklemeler yapın.
- Güvenlik Güncellemelerini zamanında yükleyin
Bonus: RDP oturum açma denemelerinde en sık kullanılan 50 kullanıcının listesi
"kullanıcı.adı: Azalan"
saymak
dfthd7c (ana bilgisayar adı)
842941
Winsrv1 (ana bilgisayar adı)
266525
YÖNETİCİ
180678
yönetici
163842
yönetici
53541
michael
23101
sunucu
21983
steve
21936
tuvalet
21927
paul
21913
resepsiyon
21909
mikrofon
21899
ofis
21888
tarayıcı
21887
taramak
21867
david
21865
chris
21860
sahip
21855
müdür
21852
administrateur
21841
Brian
21839
yönetici
21837
işaret
21824
personel
21806
YÖNETİCİ
12748
KÖK
7772
YÖNETİCİ
7325
DESTEK
5577
ORTA
5418
KULLANICI
4558
Gizem
2832
TEST
1928
MySql
1664
admin
1652
MİSAFİR
1322
USER1
1179
TARAYICI
1121
TARAMA
1032
YÖNETİCİ
842
YÖNETİCİ1
525
YEDEK
518
MySqlAdmin
518
RESEPSİYON
490
USER2
466
TEMP
452
SQLADMIN
450
USER3
441
1
422
MÜDÜRÜ
418
SAHİBİ
410
Kaynak: habr.com