میں نے اکثر یہ رائے پڑھی ہے کہ RDP (ریموٹ ڈیسک ٹاپ پروٹوکول) پورٹ کو انٹرنیٹ کے لیے کھلا رکھنا بہت غیر محفوظ ہے اور ایسا نہیں کرنا چاہیے۔ لیکن آپ کو یا تو VPN کے ذریعے، یا صرف مخصوص "سفید" IP پتوں سے RDP تک رسائی دینے کی ضرورت ہے۔
میں چھوٹی فرموں کے لیے کئی ونڈوز سرورز کا انتظام کرتا ہوں جہاں مجھے اکاؤنٹنٹس کے لیے ونڈوز سرور تک ریموٹ رسائی فراہم کرنے کا کام سونپا گیا ہے۔ یہ جدید رجحان ہے - گھر سے کام کرنا۔ کافی تیزی سے، میں نے محسوس کیا کہ VPN اکاؤنٹنٹس کو اذیت دینا ایک ناشکری کا کام ہے، اور وائٹ لسٹ کے لیے تمام IPs کو جمع کرنا کام نہیں کرے گا، کیونکہ لوگوں کے IP پتے متحرک ہیں۔
لہذا، میں نے سب سے آسان راستہ اختیار کیا - آر ڈی پی پورٹ کو باہر کی طرف بھیج دیا۔ رسائی حاصل کرنے کے لیے، اکاؤنٹنٹس کو اب RDP چلانے اور میزبان نام (بشمول پورٹ)، صارف نام اور پاس ورڈ درج کرنے کی ضرورت ہے۔
اس مضمون میں میں اپنا تجربہ (مثبت اور مثبت نہیں) اور سفارشات کا اشتراک کروں گا۔
خطرات
آر ڈی پی پورٹ کھول کر آپ کیا خطرہ مول لے رہے ہیں؟
1) حساس ڈیٹا تک غیر مجاز رسائی
اگر کوئی آر ڈی پی پاس ورڈ کا اندازہ لگاتا ہے، تو وہ ڈیٹا حاصل کر سکے گا جسے آپ نجی رکھنا چاہتے ہیں: اکاؤنٹ کی حیثیت، بیلنس، کسٹمر ڈیٹا، ...
2) ڈیٹا کا نقصان
مثال کے طور پر، ransomware وائرس کے نتیجے میں۔
یا کسی حملہ آور کی طرف سے جان بوجھ کر کیا گیا عمل۔
3) ورک سٹیشن کا نقصان
کارکنوں کو کام کرنے کی ضرورت ہے، لیکن سسٹم سے سمجھوتہ کیا گیا ہے اور اسے دوبارہ انسٹال/بحال/کنفیگر کرنے کی ضرورت ہے۔
4) مقامی نیٹ ورک کا سمجھوتہ
اگر کسی حملہ آور نے ونڈوز کمپیوٹر تک رسائی حاصل کر لی ہے، تو اس کمپیوٹر سے وہ انٹرنیٹ سے باہر سے ناقابل رسائی سسٹمز تک رسائی حاصل کر سکے گا۔ مثال کے طور پر، فائل شیئرز، نیٹ ورک پرنٹرز وغیرہ۔
میرے پاس ایک کیس تھا جہاں ونڈوز سرور نے رینسم ویئر پکڑا۔
اور اس ransomware نے پہلے C: drive پر موجود زیادہ تر فائلوں کو انکرپٹ کیا اور پھر NAS پر فائلوں کو نیٹ ورک پر انکرپٹ کرنا شروع کر دیا۔ چونکہ NAS Synology تھا، اسنیپ شاٹس کو ترتیب دینے کے ساتھ، میں نے NAS کو 5 منٹ میں بحال کیا، اور ونڈوز سرور کو شروع سے دوبارہ انسٹال کیا۔
مشاہدات اور سفارشات
میں ونڈوز سرورز کا استعمال کرتے ہوئے نگرانی کرتا ہوں۔ ، جو ElasticSearch کو لاگ بھیجتا ہے۔ Kibana میں کئی تصورات ہیں، اور میں نے ایک حسب ضرورت ڈیش بورڈ بھی ترتیب دیا ہے۔
نگرانی خود کی حفاظت نہیں کرتا، لیکن یہ ضروری اقدامات کا تعین کرنے میں مدد کرتا ہے.
یہاں کچھ مشاہدات ہیں:
a) RDP کو زبردستی مجبور کیا جائے گا۔
سرورز میں سے ایک پر، میں نے معیاری پورٹ 3389 پر نہیں، بلکہ 443 پر RDP انسٹال کیا ہے - ٹھیک ہے، میں اپنے آپ کو HTTPS کا روپ دھاروں گا۔ یہ شاید پورٹ کو معیاری سے تبدیل کرنے کے قابل ہے، لیکن یہ زیادہ اچھا نہیں کرے گا۔ اس سرور کے اعدادوشمار یہ ہیں:
یہ دیکھا جا سکتا ہے کہ ایک ہفتے میں RDP کے ذریعے لاگ ان کرنے کی تقریباً 400 ناکام کوششیں ہوئیں۔
یہ دیکھا جا سکتا ہے کہ 55 آئی پی ایڈریسز سے لاگ ان کرنے کی کوشش کی گئی تھی (کچھ آئی پی ایڈریس میرے ذریعہ پہلے ہی بلاک کر دیے گئے تھے)۔
یہ براہ راست اس نتیجے کی تجویز کرتا ہے کہ آپ کو fail2ban سیٹ کرنے کی ضرورت ہے، لیکن
ونڈوز کے لیے ایسی کوئی افادیت نہیں ہے۔
گیتھب پر کچھ متروک پروجیکٹس ہیں جو ایسا کرتے نظر آتے ہیں، لیکن میں نے ان کو انسٹال کرنے کی کوشش بھی نہیں کی ہے۔
ادائیگی کی سہولیات بھی ہیں، لیکن میں نے ان پر غور نہیں کیا ہے۔
اگر آپ اس مقصد کے لیے اوپن سورس کی افادیت کو جانتے ہیں، تو براہ کرم اسے تبصروں میں شیئر کریں۔
اپ ڈیٹ کریں: تبصروں نے تجویز کیا کہ پورٹ 443 ایک برا انتخاب ہے، اور اعلیٰ بندرگاہوں (32000+) کا انتخاب کرنا بہتر ہے، کیونکہ 443 کو زیادہ بار اسکین کیا جاتا ہے، اور اس پورٹ پر RDP کو پہچاننا کوئی مسئلہ نہیں ہے۔
b) کچھ ایسے صارف نام ہیں جنہیں حملہ آور ترجیح دیتے ہیں۔
یہ دیکھا جا سکتا ہے کہ تلاش مختلف ناموں کے ساتھ لغت میں کی جاتی ہے۔
لیکن میں نے جو دیکھا وہ یہ ہے: بہت ساری کوششیں سرور کا نام بطور لاگ ان استعمال کر رہی ہیں۔ سفارش: کمپیوٹر اور صارف کے لیے ایک ہی نام استعمال نہ کریں۔ مزید یہ کہ، کبھی کبھی ایسا لگتا ہے کہ وہ سرور کے نام کو کسی طرح پارس کرنے کی کوشش کر رہے ہیں: مثال کے طور پر، DESKTOP-DFTHD7C نام والے سسٹم کے لیے، لاگ ان کرنے کی سب سے زیادہ کوششیں DFTHD7C نام کے ساتھ ہوتی ہیں:
اس کے مطابق، اگر آپ کے پاس DESKTOP-MARIA کمپیوٹر ہے، تو آپ شاید MARIA صارف کے طور پر لاگ ان کرنے کی کوشش کر رہے ہوں گے۔
ایک اور چیز جو میں نے نوشتہ جات سے نوٹ کی: زیادہ تر سسٹمز پر لاگ ان کرنے کی زیادہ تر کوششیں "ایڈمنسٹریٹر" کے نام سے ہوتی ہیں۔ اور یہ بے وجہ نہیں ہے، کیونکہ ونڈوز کے بہت سے ورژن میں یہ صارف موجود ہے۔ مزید یہ کہ اسے حذف نہیں کیا جاسکتا۔ یہ حملہ آوروں کے لیے کام کو آسان بناتا ہے: نام اور پاس ورڈ کا اندازہ لگانے کے بجائے، آپ کو صرف پاس ورڈ کا اندازہ لگانے کی ضرورت ہے۔
ویسے، جس سسٹم نے رینسم ویئر کو پکڑا اس میں صارف کا ایڈمنسٹریٹر اور پاس ورڈ Murmansk#9 تھا۔ مجھے ابھی تک یقین نہیں ہے کہ اس سسٹم کو کیسے ہیک کیا گیا تھا، کیونکہ میں نے اس واقعے کے فوراً بعد نگرانی شروع کر دی تھی، لیکن مجھے لگتا ہے کہ اوور کِل کا امکان ہے۔
لہذا اگر ایڈمنسٹریٹر صارف کو حذف نہیں کیا جاسکتا ہے، تو آپ کو کیا کرنا چاہئے؟ آپ اس کا نام بدل سکتے ہیں!
اس پیراگراف سے سفارشات:
- کمپیوٹر کے نام میں صارف نام استعمال نہ کریں۔
- یقینی بنائیں کہ سسٹم پر کوئی ایڈمنسٹریٹر صارف نہیں ہے۔
- مضبوط پاس ورڈ استعمال کریں۔
لہذا، میں اپنے کنٹرول میں کئی ونڈوز سرورز کو دیکھ رہا ہوں جو اب تقریباً دو سالوں سے، اور بغیر کسی کامیابی کے۔
میں کیسے جان سکتا ہوں کہ یہ ناکام ہے؟
کیونکہ اوپر دیے گئے اسکرین شاٹس میں آپ دیکھ سکتے ہیں کہ کامیاب RDP کالز کے لاگ موجود ہیں، جن میں یہ معلومات ہیں:
- جس IP سے
- کس کمپیوٹر سے (میزبان نام)
- صارف نام
- جیو آئی پی کی معلومات
اور میں وہاں باقاعدگی سے چیک کرتا ہوں - کوئی بے ضابطگی نہیں پائی گئی۔
ویسے، اگر کسی خاص آئی پی کو خاص طور پر سختی سے مجبور کیا جا رہا ہے، تو آپ پاور شیل میں اس طرح انفرادی آئی پی (یا سب نیٹ) کو بلاک کر سکتے ہیں:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Blockویسے، لچکدار، Winlogbeat کے علاوہ، بھی ہے ، جو سسٹم پر فائلوں اور عمل کی نگرانی کرسکتا ہے۔ کبانا میں ایک SIEM (سیکیورٹی انفارمیشن اینڈ ایونٹ مینجمنٹ) ایپلیکیشن بھی ہے۔ میں نے دونوں کو آزمایا، لیکن زیادہ فائدہ نہیں دیکھا - ایسا لگتا ہے کہ آڈٹ بیٹ لینکس سسٹمز کے لیے زیادہ کارآمد ثابت ہوگا، اور SIEM نے مجھے ابھی تک کچھ بھی قابل فہم نہیں دکھایا۔
ٹھیک ہے، حتمی سفارشات:
- باقاعدہ خودکار بیک اپ بنائیں۔
- بروقت سیکیورٹی اپ ڈیٹس انسٹال کریں۔
بونس: 50 صارفین کی فہرست جو اکثر RDP لاگ ان کی کوششوں کے لیے استعمال ہوتے تھے۔
"صارف کا نام: نزول"
شمار
dfthd7c (میزبان نام)
842941
winsrv1 (میزبان نام)
266525
ایڈمنسٹریٹر
180678
ایڈمنسٹریٹر
163842
ایڈمنسٹریٹر
53541
مائیکل
23101
سرور
21983
سٹیو
21936
جان
21927
پال
21913
استقبالیہ
21909
مائک
21899
دفتر
21888
سکینر
21887
اسکین
21867
ڈیوڈ
21865
کرس
21860
مالک
21855
مینیجر
21852
administrateur
21841
برائن
21839
منتظم
21837
نشان
21824
عملہ
21806
ایڈمن
12748
جڑ
7772
ایڈمنسٹریٹر
7325
SUPPORT
5577
سپورٹ
5418
USER
4558
منتظم
2832
TEST
1928
ایس کیو ایل
1664
ایڈمن
1652
اچھا
1322
صارف 1
1179
اسکینر
1121
اسکین
1032
ایڈمنسٹریٹر
842
ایڈمن 1
525
بیک اپ
518
MySqlAdmin
518
RECEPTION
490
صارف 2
466
TEMP
452
SQLADMIN
450
صارف 3
441
1
422
MANAGER
418
مالک
410
ماخذ: www.habr.com