Men tez-tez RDP (Remote Desktop Protocol) portini Internetga ochiq saqlash juda xavfli va buni qilmaslik kerak degan fikrni o'qidim. Ammo siz RDP-ga VPN orqali yoki faqat ma'lum "oq" IP-manzillardan ruxsat berishingiz kerak.
Men kichik firmalar uchun bir nechta Windows serverlarini boshqaraman, ularda menga buxgalterlar uchun Windows Serverga masofaviy kirishni ta'minlash topshirilgan. Bu zamonaviy tendentsiya - uyda ishlash. Tez orada men VPN buxgalterlarini qiynash nomaqbul ish ekanligini va oq ro'yxat uchun barcha IP-larni to'plash ish bermasligini angladim, chunki odamlarning IP-manzillari dinamik.
Shuning uchun men eng oddiy yo'lni tanladim - RDP portini tashqariga yo'naltirdim. Kirish uchun buxgalterlar endi RDP-ni ishga tushirishlari va host nomini (shu jumladan port), foydalanuvchi nomi va parolni kiritishlari kerak.
Ushbu maqolada men o'z tajribam (ijobiy va unchalik ijobiy emas) va tavsiyalarimni baham ko'raman.
Xatarlar
RDP portini ochish bilan nima xavf ostida?
1) Maxfiy ma'lumotlarga ruxsatsiz kirish
Agar kimdir RDP parolini taxmin qilsa, ular siz maxfiy saqlamoqchi bo'lgan ma'lumotlarni olishlari mumkin: hisob holati, balanslar, mijozlar ma'lumotlari, ...
2) Ma'lumotlarni yo'qotish
Masalan, ransomware virusi natijasida.
Yoki hujumchining qasddan qilgan harakati.
3) Ish stantsiyasining yo'qolishi
Ishchilar ishlashi kerak, lekin tizim buzilgan va uni qayta o'rnatish/tiklash/konfiguratsiya qilish kerak.
4) Mahalliy tarmoqning buzilishi
Agar tajovuzkor Windows kompyuteriga kirish huquqiga ega bo'lsa, u holda ushbu kompyuterdan u tashqaridan, Internetdan kirish imkoni bo'lmagan tizimlarga kira oladi. Masalan, fayl almashish, tarmoq printerlariga va hokazo.
Menda Windows Server to'lov dasturini ushlagan holim bor edi
va bu ransomware birinchi navbatda C: diskidagi fayllarning ko'pini shifrladi va keyin tarmoq orqali NASdagi fayllarni shifrlashni boshladi. NAS Synology bo'lgani uchun, oniy tasvirlar sozlangan, men NASni 5 daqiqada tikladim va Windows Serverni noldan qayta o'rnatdim.
Kuzatishlar va tavsiyalar
Men Windows serverlarini ishlatib kuzataman , bu jurnallarni ElasticSearch-ga yuboradi. Kibana bir nechta vizualizatsiyaga ega va men maxsus asboblar panelini ham o'rnatdim.
Monitoringning o'zi himoya qilmaydi, lekin zarur choralarni aniqlashga yordam beradi.
Mana ba'zi kuzatishlar:
a) RDP qo'pol majburlanadi.
Serverlardan birida men RDP-ni standart 3389 portiga emas, balki 443-ga o'rnatdim - yaxshi, men o'zimni HTTPS sifatida yashiraman. Ehtimol, portni standart portdan o'zgartirishga arziydi, lekin bu unchalik yaxshi ish qilmaydi. Bu serverdagi statistika:
Ko'rinib turibdiki, bir hafta ichida RDP orqali tizimga kirishga deyarli 400 000 muvaffaqiyatsiz urinishlar bo'lgan.
Ko'rinib turibdiki, 55 001 IP manzildan tizimga kirishga urinishlar bo'lgan (ba'zi IP manzillar allaqachon men tomonidan bloklangan).
Bu to'g'ridan-to'g'ri siz fail2ban ni o'rnatishingiz kerak degan xulosani taklif qiladi, lekin
Windows uchun bunday yordamchi dastur mavjud emas.
Github-da buni amalga oshiradigan bir nechta tashlab qo'yilgan loyihalar mavjud, ammo men ularni o'rnatishga ham urinmadim:
Pullik kommunal xizmatlar ham bor, lekin men ularni hisobga olmadim.
Agar siz ushbu maqsad uchun ochiq manba yordam dasturini bilsangiz, uni sharhlarda baham ko'ring.
Yangilash: Izohlar 443-port noto'g'ri tanlov ekanligini va yuqori portlarni (32000+) tanlash yaxshidir, chunki 443 tez-tez skanerlanadi va bu portda RDPni tanib olish muammo emas.
b) Buzg'unchilar afzal ko'rgan foydalanuvchi nomlari mavjud
Ko'rish mumkinki, qidiruv turli nomlar bilan lug'atda amalga oshiriladi.
Ammo men shuni payqadim: server nomidan login sifatida foydalanishga urinishlar soni katta. Tavsiya: Kompyuter va foydalanuvchi uchun bir xil nomdan foydalanmang. Bundan tashqari, ba'zida ular qandaydir tarzda server nomini tahlil qilishga urinayotganga o'xshaydi: masalan, DESKTOP-DFTHD7C nomi bilan tizimga kirishga eng ko'p urinishlar DFTHD7C nomi bilan amalga oshiriladi:
Shunga ko'ra, agar sizda DESKTOP-MARIA kompyuteringiz bo'lsa, ehtimol siz MARIA foydalanuvchisi sifatida tizimga kirishga harakat qilasiz.
Jurnallardan yana bir narsani payqadim: ko'pgina tizimlarda tizimga kirishga urinishlarning aksariyati "administrator" nomi bilan amalga oshiriladi. Va bu bejiz emas, chunki Windows-ning ko'p versiyalarida bu foydalanuvchi mavjud. Bundan tashqari, uni o'chirib bo'lmaydi. Bu tajovuzkorlar uchun vazifani soddalashtiradi: ism va parolni taxmin qilish o'rniga, siz faqat parolni taxmin qilishingiz kerak.
Aytgancha, to'lov dasturini ushlagan tizim Administrator foydalanuvchisi va Murmansk#9 paroliga ega edi. Men bu tizim qanday buzilganiga hali ham ishonchim komil emas, chunki men o'sha voqeadan so'ng kuzata boshladim, lekin menimcha, bu haddan tashqari ko'p bo'lishi mumkin.
Xo'sh, agar Administrator foydalanuvchisini o'chirib bo'lmasa, nima qilish kerak? Siz uni qayta nomlashingiz mumkin!
Ushbu band bo'yicha tavsiyalar:
- kompyuter nomidagi foydalanuvchi nomidan foydalanmang
- tizimda Administrator foydalanuvchisi yo'qligiga ishonch hosil qiling
- kuchli parollardan foydalaning
Shunday qilib, men bir necha yildan beri nazoratim ostidagi bir nechta Windows serverlarini shafqatsizlarcha majburlashini va muvaffaqiyatsizligini kuzataman.
Muvaffaqiyatsiz ekanligini qanday bilsam bo'ladi?
Yuqoridagi skrinshotlarda muvaffaqiyatli RDP qo'ng'iroqlari jurnallari mavjudligini ko'rishingiz mumkin, ularda ma'lumotlar mavjud:
- qaysi IP dan
- qaysi kompyuterdan (xost nomi)
- Foydalanuvchi nomi
- GeoIP ma'lumotlari
Va men u erda muntazam ravishda tekshiraman - hech qanday anomaliya topilmadi.
Aytgancha, agar ma'lum bir IP-ni qo'pol ravishda majburlash juda qiyin bo'lsa, PowerShell-da shunga o'xshash individual IP-larni (yoki pastki tarmoqlarni) bloklashingiz mumkin:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockAytgancha, Elastic, Winlogbeat-dan tashqari, ham bor , tizimdagi fayllar va jarayonlarni kuzatishi mumkin. Kibanada SIEM (Security Information & Event Management) ilovasi ham mavjud. Men ikkalasini ham sinab ko'rdim, lekin unchalik foyda ko'rmadim - Auditbeat Linux tizimlari uchun foydaliroq bo'ladi va SIEM menga hali tushunarli hech narsa ko'rsatmadi.
Xo'sh, yakuniy tavsiyalar:
- Muntazam avtomatik zaxira nusxalarini yarating.
- Xavfsizlik yangilanishlarini o'z vaqtida o'rnating
Bonus: RDP kirish urinishlari uchun eng ko'p foydalanilgan 50 foydalanuvchi ro'yxati
"user.name: pasaymoqda"
hisoblash
dfthd7c (xost nomi)
842941
winsrv1 (xost nomi)
266525
BOSHQARUVCHI
180678
ma'mur
163842
Administrator
53541
Maykl
23101
server
21983
Stiv
21936
john
21927
Pol
21913
Qabul
21909
Mayk
21899
idora
21888
skaner
21887
scan
21867
david
21865
Kris
21860
egasi
21855
rahbar
21852
administrator
21841
Brayan
21839
ma'mur
21837
belgi
21824
xodimlar
21806
ADMIN
12748
ROOT
7772
ADMINISTRATOR
7325
SUPPORT
5577
YoRDAM
5418
FOYDALANuvchi
4558
admin
2832
TEST
1928
mysql
1664
Admin
1652
MEHMON
1322
FOYDALANuvchi 1
1179
Skaner
1121
SCAN
1032
ADMINISTRATOR
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
QABUL QILISH
490
FOYDALANuvchi 2
466
Temp
452
SQLADMIN
450
FOYDALANuvchi 3
441
1
422
Menejer
418
OWNER
410
Manba: www.habr.com