Tôi thường đọc ý kiến cho rằng việc giữ cổng RDP (Giao thức máy tính từ xa) mở với Internet là rất không an toàn và không nên làm. Nhưng bạn cần cấp quyền truy cập vào RDP thông qua VPN hoặc chỉ từ một số địa chỉ IP “trắng” nhất định.
Tôi quản lý một số Máy chủ Windows cho các công ty nhỏ nơi tôi được giao nhiệm vụ cung cấp quyền truy cập từ xa vào Windows Server cho các kế toán viên. Đây là xu hướng hiện đại - làm việc tại nhà. Khá nhanh chóng, tôi nhận ra rằng việc hành hạ các nhân viên kế toán VPN là một nhiệm vụ vô ơn và việc thu thập tất cả IP cho danh sách trắng sẽ không hiệu quả vì địa chỉ IP của mọi người là động.
Vì vậy, tôi đã chọn con đường đơn giản nhất - chuyển tiếp cổng RDP ra bên ngoài. Để có quyền truy cập, kế toán hiện cần chạy RDP và nhập tên máy chủ (bao gồm cổng), tên người dùng và mật khẩu.
Trong bài viết này, tôi sẽ chia sẻ kinh nghiệm của mình (tích cực và không quá tích cực) và các khuyến nghị.
Rủi ro
Bạn đang gặp rủi ro gì khi mở cổng RDP?
1) Truy cập trái phép vào dữ liệu nhạy cảm
Nếu ai đó đoán được mật khẩu RDP, họ sẽ có thể lấy được những dữ liệu mà bạn muốn giữ kín: trạng thái tài khoản, số dư, dữ liệu khách hàng,...
2) Mất dữ liệu
Ví dụ: do virus ransomware.
Hoặc một hành động có chủ ý của kẻ tấn công.
3) Mất máy trạm
Công nhân cần phải làm việc nhưng hệ thống bị xâm phạm và cần được cài đặt lại/khôi phục/cấu hình.
4) Sự xâm phạm của mạng cục bộ
Nếu kẻ tấn công đã giành được quyền truy cập vào máy tính Windows, thì từ máy tính này, hắn sẽ có thể truy cập vào các hệ thống mà bên ngoài không thể truy cập được, từ Internet. Ví dụ: để chia sẻ tệp, tới máy in mạng, v.v.
Tôi gặp trường hợp Windows Server gặp phải ransomware
và phần mềm ransomware này đầu tiên mã hóa hầu hết các tệp trên ổ C: và sau đó bắt đầu mã hóa các tệp trên NAS qua mạng. Vì NAS là Synology nên với cấu hình ảnh chụp nhanh, tôi đã khôi phục NAS sau 5 phút và cài đặt lại Windows Server từ đầu.
Quan sát và khuyến nghị
Tôi giám sát Máy chủ Windows bằng cách sử dụng , gửi nhật ký tới ElasticSearch. Kibana có một số hình ảnh trực quan và tôi cũng thiết lập trang tổng quan tùy chỉnh.
Bản thân việc giám sát không bảo vệ nhưng nó giúp xác định các biện pháp cần thiết.
Dưới đây là một số quan sát:
a) RDP sẽ bị ép buộc một cách tàn bạo.
Trên một trong các máy chủ, tôi đã cài đặt RDP không phải trên cổng tiêu chuẩn 3389 mà trên cổng 443 - à, tôi sẽ cải trang thành HTTPS. Có lẽ đáng để thay đổi cổng từ cổng tiêu chuẩn, nhưng nó sẽ không mang lại nhiều tác dụng. Dưới đây là số liệu thống kê từ máy chủ này:
Có thể thấy, trong một tuần có gần 400 lượt đăng nhập qua RDP không thành công.
Có thể thấy đã có những nỗ lực đăng nhập từ 55 địa chỉ IP (một số địa chỉ IP đã bị tôi chặn).
Điều này trực tiếp gợi ý kết luận rằng bạn cần đặt Fail2ban, nhưng
Không có tiện ích như vậy cho Windows.
Có một số dự án bị bỏ rơi trên Github dường như thực hiện được điều này, nhưng tôi thậm chí còn chưa thử cài đặt chúng:
Ngoài ra còn có các tiện ích phải trả phí, nhưng tôi chưa xem xét chúng.
Nếu bạn biết một tiện ích nguồn mở cho mục đích này, vui lòng chia sẻ nó trong phần bình luận.
Cập nhật: Các ý kiến cho rằng cổng 443 là một lựa chọn tồi, tốt hơn nên chọn cổng cao (32000+), vì 443 được quét thường xuyên hơn và việc nhận dạng RDP trên cổng này không phải là vấn đề.
b) Có một số tên người dùng nhất định mà kẻ tấn công ưa thích
Có thể thấy việc tìm kiếm được thực hiện trong một từ điển có nhiều tên gọi khác nhau.
Nhưng đây là điều tôi nhận thấy: một số lượng đáng kể các lần thử sử dụng tên máy chủ làm thông tin đăng nhập. Khuyến nghị: Không sử dụng cùng tên cho máy tính và người dùng. Hơn nữa, đôi khi có vẻ như họ đang cố gắng phân tích cú pháp tên máy chủ bằng cách nào đó: ví dụ: đối với hệ thống có tên DESKTOP-DFHD7C, hầu hết các lần thử đăng nhập đều có tên DFTHD7C:
Theo đó, nếu bạn có máy tính DESKTOP-MARIA, có thể bạn sẽ cố đăng nhập với tư cách người dùng MARIA.
Một điều khác mà tôi nhận thấy từ nhật ký: trên hầu hết các hệ thống, hầu hết các nỗ lực đăng nhập đều có tên “quản trị viên”. Và điều này không phải không có lý do, bởi trong nhiều phiên bản Windows đều tồn tại người dùng này. Hơn nữa, nó không thể bị xóa. Điều này giúp đơn giản hóa nhiệm vụ của kẻ tấn công: thay vì đoán tên và mật khẩu, bạn chỉ cần đoán mật khẩu.
Nhân tiện, hệ thống bắt được ransomware có người dùng Quản trị viên và mật khẩu Murmansk#9. Tôi vẫn không chắc hệ thống đó đã bị hack như thế nào, vì tôi đã bắt đầu theo dõi ngay sau sự cố đó, nhưng tôi nghĩ có thể xảy ra trường hợp quá mức cần thiết.
Vậy nếu không xóa được user Administrator thì bạn phải làm sao? Bạn có thể đổi tên nó!
Khuyến nghị từ đoạn này:
- không sử dụng tên người dùng trong tên máy tính
- đảm bảo rằng không có người dùng Quản trị viên trên hệ thống
- sử dụng mật khẩu mạnh
Vì vậy, tôi đã chứng kiến một số Máy chủ Windows dưới sự kiểm soát của mình bị ép buộc một cách tàn bạo trong khoảng vài năm nay và không thành công.
Làm sao tôi biết nó không thành công?
Bởi vì trong ảnh chụp màn hình ở trên, bạn có thể thấy có nhật ký của các cuộc gọi RDP thành công, trong đó chứa thông tin:
- từ IP nào
- từ máy tính nào (tên máy chủ)
- имя пользователя
- Thông tin GeoIP
Và tôi kiểm tra ở đó thường xuyên - không tìm thấy điều bất thường nào.
Nhân tiện, nếu một IP cụ thể đang bị ép buộc đặc biệt nghiêm trọng thì bạn có thể chặn từng IP (hoặc mạng con) riêng lẻ như thế này trong PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockNhân tiện, Elastic, ngoài Winlogbeat, còn có , có thể giám sát các tập tin và quy trình trên hệ thống. Ngoài ra còn có ứng dụng SIEM (Quản lý sự kiện & thông tin bảo mật) ở Kibana. Tôi đã thử cả hai nhưng không thấy nhiều lợi ích - có vẻ như Auditbeat sẽ hữu ích hơn cho các hệ thống Linux và SIEM vẫn chưa cho tôi thấy điều gì dễ hiểu.
Vâng, khuyến nghị cuối cùng:
- Thực hiện sao lưu tự động thường xuyên.
- cài đặt Cập nhật bảo mật kịp thời
Phần thưởng: danh sách 50 người dùng thường được sử dụng nhất cho các lần đăng nhập RDP
"user.name: Giảm dần"
Đếm
dfthd7c (tên máy chủ)
842941
winrv1 (tên máy chủ)
266525
NGƯỜI QUẢN LÝ
180678
quản trị viên
163842
Quản trị
53541
michael
23101
máy chủ
21983
steve
21936
john
21927
paul
21913
tiếp nhận
21909
làm biếng
21899
văn phòng AUG gần nhất
21888
máy quét
21887
quét
21867
david
21865
chris
21860
chủ sở hữu
21855
giám đốc
21852
Administrateur
21841
brian
21839
quản trị viên
21837
dấu
21824
nhân viên
21806
QUẢN TRỊ VIÊN
12748
ROOT
7772
QUẢN TRỊ VIÊN
7325
HỖ TRỢ
5577
HPORT TRỢ
5418
USER
4558
quản trị viên
2832
THI
1928
MySql
1664
quản trị viên
1652
KHÁCH MỜI
1322
NGƯỜI DÙNG1
1179
MÁY QUÉT
1121
SCAN
1032
NGƯỜI QUẢN LÝ
842
QUẢN TRỊ1
525
SAO LƯU
518
MySqlAdmin
518
TIẾP NHẬN
490
NGƯỜI DÙNG2
466
TEMP
452
SQLADMIN
450
NGƯỜI DÙNG3
441
1
422
GIÁM ĐỐC
418
SỞ HỮU
410
Nguồn: www.habr.com