Get best of the week

Est-il dangereux de garder RDP ouvert sur Internet?

Souvent, je lis l’opinion que garder le port RDP (Remote Desktop Protocol) ouvert sur Internet est trĂšs peu sĂ»r, et ce n’est pas nĂ©cessaire. Et vous devez donner accĂšs Ă  RDP soit via un VPN, soit uniquement Ă  partir de certaines adresses IP "blanches".


J'administre plusieurs serveurs Windows pour les petites entreprises, dans lesquels j'étais chargé de fournir un accÚs à distance à Windows Server pour les comptables. Une telle tendance moderne est le travail à domicile. Assez rapidement, j'ai réalisé que tourmenter les comptables VPN est une tùche ingrate, et la collecte de toutes les adresses IP pour la liste blanche ne fonctionnera pas, car les adresses IP des personnes sont dynamiques.


J'ai donc opté pour le moyen le plus simple: j'ai transféré le port RDP. Maintenant, pour l'accÚs, les comptables doivent exécuter RDP et entrer le nom d'hÎte (y compris le port), le nom d'utilisateur et le mot de passe.


Dans cet article, je partagerai mon expérience (positive et pas si bonne) et mes recommandations.


Les risques


Quels sont les risques d'ouverture du port RDP?


1) AccÚs non autorisé aux données sensibles
Si quelqu'un sélectionne un mot de passe pour RDP, il pourra obtenir les données que vous souhaitez garder privées: état du compte, soldes, données client, ...


2) Perte de données, par
exemple, à la suite de l'opération du virus de chiffrement.
Ou une action ciblée d'un attaquant.


3) Perte du poste de travail. Les
travailleurs doivent travailler et le systÚme est compromis, vous devez réinstaller / restaurer / configurer.


4) Compromis du réseau local
Si un attaquant a eu accÚs à un ordinateur Windows, alors à partir de cet ordinateur il pourra accéder à des systÚmes qui ne sont pas accessibles de l'extérieur, à partir d'Internet. Par exemple pour limer des balles, pour des imprimantes réseau, etc.


J'ai eu un cas oĂč Windows Server a attrapĂ© un crypteur

C:, NAS . NAS Synology, snapshots, NAS 5 , Windows Server .



Windows Servers Winlogbeat, ElasticSearch. Kibana , .
, .


:
a) RDP -.
RDP 3389, 443 — HTTPS. , , . :


Journaux Windows Ă  Kibana

, 400 000 RDP.
, 55 001 IP ( IP ).


, fail2ban,


Windows - .

, , :
https://github.com/glasnt/wail2ban
https://github.com/EvanAnderson/ts_block


, .


— .


Update: , 443 — , (32000+), 443 , RDP — .


Update: , :
https://github.com/digitalruby/ipban


IPBan, :
image


IPBan

2020-02-11 00:01:18.2517|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 31.131.251.228,, RDP, 1
2020-02-11 00:01:18.2686|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 31.131.251.228, Administrator, RDP, 2
2020-02-11 00:02:49.7098|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 95.213.143.147,, RDP, 3
2020-02-11 00:02:49.7098|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 95.213.143.147, Administrator, RDP, 4
2020-02-11 00:04:20.9878|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 95.213.184.20,, RDP, 5
2020-02-11 00:04:20.9878|WARN|DigitalRuby.IPBanCore.Logger|Banning ip address: 95.213.184.20, user name:, config black listed: False, count: 5, extra info:
2020-02-11 00:04:20.9878|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 95.213.184.20, Administrator, RDP, 5
2020-02-11 00:04:21.0040|WARN|DigitalRuby.IPBanCore.Logger|IP 95.213.184.20, Administrator, RDP ban pending.
2020-02-11 00:04:21.1237|WARN|DigitalRuby.IPBanCore.Logger|Updating firewall with 1 entries

2020-02-11 00:05:36.6525|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 31.131.251.24,, RDP, 3
2020-02-11 00:05:36.6566|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 31.131.251.24, Administrator, RDP, 4
2020-02-11 00:07:22.4729|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 82.202.249.225, Administrator, RDP, 3
2020-02-11 00:07:22.4894|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 82.202.249.225,, RDP, 4
2020-02-11 00:08:53.1731|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 45.141.86.141,, RDP, 3
2020-02-11 00:08:53.1731|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 45.141.86.141, Administrator, RDP, 4
2020-02-11 00:09:23.4981|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 68.129.202.154,, RDP, 1
2020-02-11 00:09:23.5022|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 68.129.202.154, ADMINISTRATOR, RDP, 2
2020-02-11 00:10:39.0282|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 95.213.143.147,, RDP, 5
2020-02-11 00:10:39.0336|WARN|DigitalRuby.IPBanCore.Logger|Banning ip address: 95.213.143.147, user name:, config black listed: False, count: 5, extra info:
2020-02-11 00:10:39.0336|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 95.213.143.147, Administrator, RDP, 5
2020-02-11 00:10:39.0336|WARN|DigitalRuby.IPBanCore.Logger|IP 95.213.143.147, Administrator, RDP ban pending.
2020-02-11 00:10:39.1155|WARN|DigitalRuby.IPBanCore.Logger|Updating firewall with 1 entries

2020-02-11 00:12:09.6470|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 82.202.249.225,, RDP, 5
2020-02-11 00:12:09.6470|WARN|DigitalRuby.IPBanCore.Logger|Banning ip address: 82.202.249.225, user name:, config black listed: False, count: 5, extra info:


b) username,
, .
: — , . : . , - : DESKTOP-DFTHD7C DFTHD7C:


image

, DESKTOP-MARIA, MARIA.


, : , — "administrator". , Windows, .


- .

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/local-accounts#administrator-account
Administrator account
The default local Administrator account is a user account for the system administrator. Every computer has an Administrator account (SID S-1-5-domain-500, display name Administrator). The Administrator account is the first account that is created during the Windows installation.


The Administrator account has full control of the files, directories, services, and other resources on the local computer. The Administrator account can create other local users, assign user rights, and assign permissions. The Administrator account can take control of local resources at any time simply by changing the user rights and permissions.


The default Administrator account cannot be deleted or locked out, but it can be renamed or disabled.


: .
, Administrator Murmansk#9. , , , , — .
Administrator , ? !


:


  • , Administrator

, , Windows Server - - , .


, ?
, RDP, :


  • IP
  • (hostname)
  • GeoIP

— .


, - IP - , IP ( ) PowerShell:


New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block

Elastic, Winlogbeat Auditbeat, . SIEM (Security Information & Event Management) Kibana. , — Auditbeat Linux , SIEM .


:


  • .
  • mettre Ă  jour les mises Ă  jour de sĂ©curitĂ©

Bonus: une liste de 50 utilisateurs les plus utilisés pour les tentatives de connexion via RDP
ï»ż"user.name: Descending"Count
dfthd7c (hostname)842941
winsrv1 (hostname)266525
ADMINISTRATOR180678
administrator163842
Administrator53541
michael23101
server21983
steve21936
john21927
paul21913
reception21909
mike21899
office21888
scanner21887
scan21867
david21865
chris21860
owner21855
manager21852
administrateur21841
brian21839
administrador21837
mark21824
staff21806
ADMIN12748
ROOT7772
ADMINISTRADOR7325
SUPPORT5577
SOPORTE5418
USER4558
admin2832
TEST1928
MySql1664
Admin1652
GUEST1322
USER11179
SCANNER1121
SCAN1032
ADMINISTRATEUR842
ADMIN1525
BACKUP518
MySqlAdmin518
RECEPTION490
USER2466
TEMP452
SQLADMIN450
USER3441
1422
MANAGER418
OWNER410

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles