Mo ti nigbagbogbo ka ero pe titọju ibudo RDP (Ilana Ojú-iṣẹ Latọna jijin) ṣii si Intanẹẹti jẹ ailewu pupọ ati pe ko yẹ ki o ṣee ṣe. Ṣugbọn o nilo lati fun iwọle si RDP boya nipasẹ VPN kan, tabi nikan lati awọn adirẹsi IP “funfun” kan.
Mo ṣakoso ọpọlọpọ Awọn olupin Windows fun awọn ile-iṣẹ kekere nibiti Mo ti ṣe iṣẹ ṣiṣe pẹlu ipese iraye si latọna jijin si Windows Server fun awọn oniṣiro. Eyi ni aṣa igbalode - ṣiṣẹ lati ile. Ni kiakia, Mo rii pe ijiya awọn oniṣiro VPN jẹ iṣẹ-ṣiṣe ti ko dupẹ, ati gbigba gbogbo awọn IP fun atokọ funfun kii yoo ṣiṣẹ, nitori awọn adirẹsi IP ti eniyan ni agbara.
Nitorinaa, Mo gba ipa ọna ti o rọrun julọ - dari ibudo RDP si ita. Lati ni iraye si, awọn oniṣiro nilo lati ṣiṣẹ RDP ki o tẹ orukọ olupin sii (pẹlu ibudo), orukọ olumulo ati ọrọ igbaniwọle.
Ninu nkan yii Emi yoo pin iriri mi (rere ati kii ṣe rere) ati awọn iṣeduro.
Awọn ewu
Kini o lewu nipa ṣiṣi ibudo RDP?
1) Wiwọle laigba aṣẹ si data ifura
Ti ẹnikan ba gboju ọrọ igbaniwọle RDP, wọn yoo ni anfani lati gba data ti o fẹ tọju ikọkọ: ipo akọọlẹ, awọn iwọntunwọnsi, data alabara, ...
2) Data pipadanu
Fun apẹẹrẹ, bi abajade ọlọjẹ ransomware kan.
Tabi igbese ti o mọọmọ nipasẹ ikọlu.
3) Isonu ti ibudo iṣẹ
Awọn oṣiṣẹ nilo lati ṣiṣẹ, ṣugbọn eto naa ti gbogun ati pe o nilo lati tun fi sii / mu pada / tunto.
4) Ibanujẹ ti nẹtiwọọki agbegbe
Ti ikọlu ba ti ni iraye si kọnputa Windows kan, lẹhinna lati kọnputa yii yoo ni anfani lati wọle si awọn eto ti ko ṣee ṣe lati ita, lati Intanẹẹti. Fun apẹẹrẹ, lati faili awọn ipin, si awọn atẹwe nẹtiwọki, ati bẹbẹ lọ.
Mo ni ẹjọ kan nibiti Windows Server ti mu ransomware kan
ati pe ransomware yii kọkọ pa akoonu pupọ julọ awọn faili lori C: wakọ ati lẹhinna bẹrẹ fifi ẹnọ kọ nkan awọn faili lori NAS lori nẹtiwọọki naa. Niwọn igba ti NAS jẹ Synology, pẹlu awọn atunto snapshots, Mo tun NAS pada ni awọn iṣẹju 5, ati tun fi Windows Server sori ẹrọ lati ibere.
Awọn akiyesi ati awọn iṣeduro
Mo bojuto Windows Servers lilo , eyi ti o fi awọn akọọlẹ ranṣẹ si ElasticSearch. Kibana ni ọpọlọpọ awọn iworan, ati pe Mo tun ṣeto dasibodu aṣa kan.
Mimojuto ara ko ni aabo, ṣugbọn o ṣe iranlọwọ lati pinnu awọn igbese to ṣe pataki.
Eyi ni diẹ ninu awọn akiyesi:
a) RDP yoo jẹ fi agbara mu.
Lori ọkan ninu awọn olupin, Mo fi RDP sori ẹrọ kii ṣe lori ibudo boṣewa 3389, ṣugbọn lori 443 - daradara, Emi yoo pa ara mi mọ bi HTTPS. O ṣee ṣe tọ lati yi ibudo pada lati ọkan boṣewa, ṣugbọn kii yoo ṣe rere pupọ. Eyi ni awọn iṣiro lati ọdọ olupin yii:
O le rii pe ni ọsẹ kan o fẹrẹ to awọn igbiyanju 400 ti ko ni aṣeyọri lati wọle nipasẹ RDP.
A le rii pe awọn igbiyanju wa lati wọle lati awọn adirẹsi IP 55 (diẹ ninu awọn adirẹsi IP ti dina tẹlẹ nipasẹ mi).
Eyi taara ni imọran ipari ti o nilo lati ṣeto fail2ban, ṣugbọn
Ko si iru ohun elo fun Windows.
Awọn iṣẹ akanṣe meji kan wa lori Github ti o dabi pe o ṣe eyi, ṣugbọn Emi ko tii gbiyanju lati fi wọn sii:
Awọn ohun elo isanwo tun wa, ṣugbọn Emi ko gbero wọn.
Ti o ba mọ ohun elo orisun ṣiṣi fun idi eyi, jọwọ pin ninu awọn asọye.
Update: Awọn comments daba wipe ibudo 443 ni a buburu wun, ati awọn ti o jẹ dara lati yan ga ebute oko (32000+), nitori 443 ti ṣayẹwo diẹ igba, ati ki o mọ RDP lori yi ibudo ni ko kan isoro.
b) Awọn orukọ olumulo kan wa ti awọn ikọlu fẹ
A le rii pe wiwa naa ni a ṣe ni iwe-itumọ pẹlu awọn orukọ oriṣiriṣi.
Ṣugbọn eyi ni ohun ti Mo ṣe akiyesi: nọmba pataki ti awọn igbiyanju ni lilo orukọ olupin bi iwọle kan. Iṣeduro: Maṣe lo orukọ kanna fun kọnputa ati olumulo. Pẹlupẹlu, nigbami o dabi pe wọn n gbiyanju lati sọ orukọ olupin naa bakan: fun apẹẹrẹ, fun eto kan pẹlu orukọ DESKTOP-DFTHD7C, awọn igbiyanju pupọ julọ lati wọle wa pẹlu orukọ DFTHD7C:
Nitorinaa, ti o ba ni kọnputa DESKTOP-MARIA, o ṣee ṣe ki o gbiyanju lati wọle bi olumulo MARIA.
Ohun miiran ti Mo ṣe akiyesi lati awọn akọọlẹ: lori ọpọlọpọ awọn ọna ṣiṣe, ọpọlọpọ awọn igbiyanju lati wọle wa pẹlu orukọ “oludari”. Ati pe eyi kii ṣe laisi idi, nitori ni ọpọlọpọ awọn ẹya ti Windows, olumulo yii wa. Pẹlupẹlu, ko le paarẹ. Eyi jẹ irọrun iṣẹ-ṣiṣe fun awọn ikọlu: dipo lafaimo orukọ ati ọrọ igbaniwọle, iwọ nikan nilo lati gboju ọrọ igbaniwọle.
Nipa ọna, eto ti o mu ransomware ni Alakoso olumulo ati ọrọ igbaniwọle Murmansk#9. Emi ko ni idaniloju bawo ni a ṣe ti gepa eto yẹn, nitori Mo bẹrẹ abojuto ni kete lẹhin iṣẹlẹ yẹn, ṣugbọn Mo ro pe o ṣeeṣe ki o pọju.
Nitorina ti olumulo Alakoso ko ba le paarẹ, lẹhinna kini o yẹ ki o ṣe? O le fun lorukọ rẹ!
Awọn iṣeduro lati paragira yii:
- maṣe lo orukọ olumulo ni orukọ kọnputa
- rii daju pe ko si olumulo Alakoso lori eto naa
- lo lagbara awọn ọrọigbaniwọle
Nitorinaa, Mo ti n wo ọpọlọpọ Awọn olupin Windows labẹ iṣakoso mi ti a fi agbara mu fun bii ọdun meji ni bayi, ati laisi aṣeyọri.
Bawo ni MO ṣe mọ pe ko ṣaṣeyọri?
Nitoripe ninu awọn sikirinisoti loke o le rii pe awọn igbasilẹ ti awọn ipe RDP aṣeyọri wa, eyiti o ni alaye naa ninu:
- lati eyiti IP
- lati inu kọnputa wo (orukọ ogun)
- Orukọ olumulo
- GeoIP alaye
Ati pe Mo ṣayẹwo nibẹ nigbagbogbo - ko si awọn aiṣedeede ti a rii.
Nipa ọna, ti o ba jẹ pe IP kan pato ni a fi agbara mu ni lile ni pataki, lẹhinna o le dènà IPs kọọkan (tabi awọn subnets) bii eyi ni PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockNipa ọna, Elastic, ni afikun si Winlogbeat, tun ni , eyiti o le ṣe atẹle awọn faili ati awọn ilana lori eto naa. Ohun elo SIEM tun wa (Alaye Aabo & Isakoso Iṣẹlẹ) ni Kibana. Mo gbiyanju mejeeji, ṣugbọn ko rii anfani pupọ - o dabi pe Auditbeat yoo wulo diẹ sii fun awọn eto Linux, ati pe SIEM ko tii han mi ohunkohun ti oye sibẹsibẹ.
O dara, awọn iṣeduro ikẹhin:
- Ṣe awọn afẹyinti aifọwọyi deede.
- fi sori ẹrọ Awọn imudojuiwọn Aabo ni ọna ti akoko
Ẹbun: atokọ ti awọn olumulo 50 ti wọn lo nigbagbogbo fun awọn igbiyanju iwọle RDP
"user.name: Sokale"
ka
dfthd7c (orukọ ogun)
842941
winsrv1 (orukọ ogun)
266525
OLOGBON
180678
Alabojuto
163842
IT
53541
Michael
23101
server
21983
steve
21936
john
21927
paul
21913
gbigba
21909
Mike
21899
office
21888
scanner
21887
scan
21867
Dafidi
21865
Chris
21860
eni
21855
faili
21852
alakoso
21841
brian
21839
Alabojuto
21837
ami
21824
osise
21806
ADMIN
12748
gbongbo
7772
ADMINISTRATOR
7325
support
5577
Iwadii
5418
LILO
4558
admin
2832
igbeyewo
1928
MySql
1664
admin
1652
Alejo
1322
OLUMULO1
1179
Ayẹwo
1121
SCAN
1032
OLOGBON
842
ADMIN1
525
BACKUP
518
MySqlAdmin
518
Gbigba
490
OLUMULO2
466
IDANWO
452
SQLADMIN
450
OLUMULO3
441
1
422
Alakoso
418
eni
410
orisun: www.habr.com