Купуючи доступ у якоїсь хостингової компанії, яка надає білий IP для підключення на ваш орендований сервер, в більшості випадків на нього встановлюються операційні системи - Linux, Unix, BSD, рідше встановлюю Windows. І в цьому випадку потрібно, щоб хтось відповідав за безпеку даних від зло-шкідників з боку інтернету, але не завжди є така людина в компанії. У цьому випадку є кілька простих правил, як можна убезпечити себе мінімальними засобами, якщо ви все ж таки вирішили використовувати RDP без VPN з'єднань на віддалений сервер.
Після масштабної атаки вірусу Petya у червні 2016 р. питань, навіщо нам потрібний захист вже не виникає. І кількість хакерів та ботів, які атакують сервери, збільшуються з кожним днем. Достатньо відкрити лист, який прийшов на пошту, побачити в його вмісті файлик, який, звичайно ж, потрібно прочитати і, при його відкритті, комп'ютер заражається вірусом і ваш комп'ютер стає одним із тисяч в армії ботів, які нападають на слабозахищені сервери за допомогою “Словника” , експлойтів або “Brute Force” перебору пароля “грубою силою” - перевірка всіх можливих комбінацій логінів паролів на цільовій точці.
Так, методів злому багато і можна дуже багато говорити про ті чи інші методи злому, але якщо за мінімумом:
-
перебір по словнику - це коли у нас є якийсь словник, в якому прописані комбінації логінів і паролів, прохід по цьому словнику для ПК не займає багато часу, а значить і зламати нашу мету так само не ускладнить будь-який ПК і впровадити в нього свій код,
-
експлойти - це проломи в нашому захисті, наприклад, встановлюючи стару версію ОС - в надії, що вона легковажна і повністю підходить під завдання, але розумієте, що в ній така кількість дірок, що зламати вас не складе проблем для тих, хто цього хоче. Діри можна залікувати оновленнями, тому ми не рекомендуємо їх вимикати. Але для старих версій ОС таких як Windows 2003-2008, оновлення якщо і виходять, то так рідко, що зловмиснику не важко знайти існуючі дірки, тому ми радимо використовувати тільки останній версії ОС з сімейства Windows,
-
“Brute Force” - метод злому облікових записів за допомогою перебору логінів та паролів.
Цим атакам піддаються абсолютно всі, але Windows машини особливо полюбилися зловмисникам, тому подивимося на методи захисту від них на прикладі захисту RDP з'єднань.
Звичайно ж – в ідеалі поставити VPN сервер, який навантажуватиме систему надмірним кодуванням даних, але дасть вам безпеку з'єднань на сервері, але якщо таке рішення вам не підходить, то потрібно налаштовувати захист по-іншому.
Приклад перебору паролів на сервері
Ось так виглядає найпростіший перебір паролів у журналах Windows, (Панель управління - Адміністративні шаблони - Перегляд подій - Безпека), і якщо ви бачите цю картину у себе на сервері час щось робити.
5 правил захисту сервера:
-
Не використовуйте вбудовані облікові записи адміністраторів, адже найпростіше підбирати пароль до облікового запису, який у системі не заблоковано. Створіть нового Адміністратора в системі зі складним паролем, від 8-12 символів, з верхнім та нижнім регістром літер, з використанням цифр та символів.
-
Увімкніть блокування облікових записів Windows після невдалих спроб введення пароля (все це можна знайти у локальних політиках безпеки). Там же можете задати і політику складності паролів, коли користувач не зможе змінити свій пароль на легкий. Попереджаємо! У разі спроб злому єдиного адміністративного облікового запису, він заблокується і ви не зможете потрапити на ваш сервер з адміністративними правами - використовуйте кілька адміністративних облікових записів для цих цілей з максимально незрозумілими іменами!
-
Якщо є така можливість, налаштуйте домен на вашому сервері, це буде додатковий камінь спотикання для злому логінів облікових записів.
-
Налаштуйте правила блокування зловмисників після невдалих входів у систему.
-
Використовувати відомі blacklist зловмисників для блокування потенційних шкідників.
Але ми всі люди і якщо перші 4 пункти зробити не становить особливих проблем, то 5-ий людина не зможе зробити фізично. Для цього, або потрібно шукати в інтернеті blacklist, в яких вказані IP адреси “хакерів”, або скористатися програмами на кшталт тих, що використовуються в Linux – Fail2Ban – які блокують зловреда за кількістю невдалих спроб введення – на певну кількість часу або назавжди. Є безліч подібних програм для Windows, але ми зупинимося на перевіреній і дійсно працює - RDPGuard.
Програма має простий інтерфейс і допомагає, за допомогою гнучких налаштувань, захистити не тільки від атак грубої сили, а і за словником націлених на RDP, а також на інші чимало важливих функцій, які можуть бути використані на Windows серверах.
Головне меню програми RDPGuard
При виявленні невдалих вводів пароля в залежності від налаштованих правил, програма ставить IP адресу зловмисника в блок чи Firewall Windows – Брандмауера, який надалі не пропускатиме дані IP адреси для доступу до сервера.
У ній також є білий лист, в який можна вказати IP адреси вашої мережі, яку блокувати не бажано, що дозволить уникнути неприємного інциденту, коли користувач намагався 10 разів ввести невірний логін і пароль, а заблокувало весь офіс.
Налаштовується програма просто:
RDPGuard має підтримку та підходить для всіх поточних операційних систем Windows, містить 2 методи блокування та гнучкі налаштування за кількістю невірних спроб входу, скидання таймера помилок введення пароля та часу через яке потрібно розблокувати IP адресу нападника або забудькуватого клієнта.
В інших вкладках можна вказати ступінь запису журналу, змінити налаштування вашого Proxy, і так само налаштувати тип запуску даного софту. Найкращим буде використання його у вигляді служби.
Також важливою перевагою програми є те, що завантаження оперативної пам'яті в простої до 20 МБ, не задіє наші процесорні потужності. RDPGuard не зможе захистити від вірусів, але він допоможе уникнути неприємних наслідків злому RDP, FTP, RD Web Access та інших з'єднань.
Рекомендує використання RDPGuard на серверах, де є відкриті в “світ” RDP.
Замовити аналіз RDP з'єднання та отримати рекомендації щодо захисту сервера, можна у спеціалістів нашої компанії, телефонуйте: 044 200-02-01 або пишіть нам у чат.