А вы знали что пароль из шестнадцати букв считается не взламываемым? И что дороже: сервер или информация, которая хранится на нём (или хранилась)? Поэтому я решил написать короткую, но, возможно, очень полезную для многих статью, особенно если Вы только начинаете свой путь как системный администратор. Потому что когда речь идёт про выход из строя компьютерного оборудования, чаще всего наибольшие потери связаны не с потерей самого оборудования, а именно с потерей хранимой информации, но даже в случае налаженного резервного копирования нарушение работы компьютерных систем в любом случае означает простой минимум один день пока проходит восстановление работы оборудования. Совет изменить стандартный порт RDP 3389 на какой-нибудь другой уже не актуален несколько лет: различные программы, те же zmap/nmap позволяют просканировать все IP адреса в сети Интернет в течение суток и выяснить какие порты открыты на вашем устройстве. Дальше запускается стандартный перебор паролей, так называемый брут-форс. В случае использования стандартного логина Администратор – это лишь вопрос времени когда начало рабочего дня начнется с чтения сообщения «Ваши данные зашифрованы, переведите на криптокошелек 500$» (в отдельных случаях это сообщение можно увидеть в течение месяца).
Например, в 2020 году во время введения локдауна, когда большое количество работников ушли работать удаленно, было выяснено в ходе мониторинга актуальных угроз (threat intelligence) экспертами Positive Technologie, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP) всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000 (источник). Это исследование проводилось теми же способами, которыми хакеры сканируют сеть Интернет, что только стимулировало развитие кибер-преступлений, тем более, когда большинство системных администраторов оставляют стандартный порт для RDP подключений 3389 и логин «Администратор» для подключения через удаленный рабочий стол.
Способов защиты RDP сервера не мало и все они действенные – SSH, VPN, доступ по ЭЦП, но у всех этих способов есть общий недостаток – если речь идёт о быстром доступе через телефон или из компьютера на коворкинге, все эти способы защиты не дают возможности оперативно подключиться, хотя бы потому что мало вероятно что в случае работы на не принадлежащем вам оборудовании позволят установить дополнительное программное обеспечение. Так же стоит учитывать что не всегда есть возможность и средства приобрести необходимое дополнительное оборудование и программное обеспечение. Но в тоже время, если обратиться к исследованию, проведенному Verison в 2020 году по поводу статистики взломов RDP оказывается, что 80% взломов связаны не с уязвимостью самого протокола RDP а сочетание простых паролей и стандартных логинов – администратор, Ольга, бухгалтер и т.д.
В связи с этим, если стоит задача создать максимально простую и эффективную защиту, на взлом которой может понадобиться не один десяток лет (см. рисунок зависимости времени подбора пароля от его сложности от компании Hive Systems в конце статьи) даже при наличии стандартного логина, я рекомендую использовать пусть и сложный, но максимально эффективный пароль. Способов создать и запомнить сложный пароль много, например пароль Zhjlbkczd1988ujle! очень легко запомнить, потому что на русской раскладке это означает Яродилсяв1988году!. На взлом этого пароля уйдёт примерно 100 триллионов лет. Вам этого вполне хватит.
Что касается логина, то он, конечно, не должен быть стандартным, например, администратор или бухгалтер, но по статистике большинство взломов так или иначе связаны с утечкой данных от бывших сотрудников, ведь чтобы узнать, какие логины используются в организации, достаточно посмотреть список сотрудников в диспетчере задач, каждое имя – логин учетной записи (даже если у вас запрещен запуск диспетчера задач не администраторам, это не значит что пользователь не может нажать правой кнопкой на значок RDP и выбрать "Изменить" чтобы узнать логин). Поэтому достаточно обходиться фамилией человека или сочетанием должности и, например, номера кабинета или имени: ДирОлег – это никак не поможет от просмотра логина, но сделает практически невозможным подбор пары логин/пароль при условии отсутствия утечки данных.
Это первое, а второе, чтобы окончательно исключить вероятность взлома, установите ограничение на количество попыток ввода пароля тремя, максимум, пятью попытками и в случае превышения неправильных попыток блокировка пользователя на неделю (примерно 9000 минут), разблокировка администратором осуществляется за несколько секунд, но этого более чем достаточно для обнаружения попытки взлома и вы точно будете знать кого именно пытались взломать и у кого спрашивать по поводу обнаруженного логина:
В заключение, наглядная таблица, показывающая зависимость сложности пароля от времени на подбор пароля:
Комментарии (27)
evros
21.10.2022 17:18+4Доступ через Remote Desktop Gateway.
А там, где прямой проброс, дополнительно установлен Cyberarms Intrusion Detection. Например, после трёх неверных вводов, IP лочится.
NAI
21.10.2022 17:23+1Дальше запускается стандартный перебор паролей, так называемый брут-форс.
Винда в дефолтных настройках после 10 вводов делает КД на 5-10 с. т.е. условный 8-знак все равно будет перебираться годами.
balamutang
21.10.2022 17:31+2Просто создайте для админа другую учетку, а встроенную отключите. Атакуют по номеру SID, а у встроенноего админа SID всегда одна и та же и заведомо известна.
schvii Автор
21.10.2022 17:38как раз об этом и писал - нужно отказаться от стандартных логинов и тем более от учетки "Администратор"
Fitrager
21.10.2022 17:38+3Использую бесплатный VeeamPN для генерации VPN сертификатов. Смог продавить идею, что подключаться можно только через VPN к корпоративной сети, а там уже пусть запускают RDP до нужных им виртуальных машин.
paulmann
21.10.2022 19:52+1Добавил бы еще IPBan (аналог Fail2Ban). Мониторит подбор паролей и отправляет IP в бан.
Кроме того, на роутере добавить бан всех входящих соединений, если они не из России (90% атак идут с других стран).
SlavikF
21.10.2022 20:23IPBan — хорошее решение.
Пользую несколько лет, снижает количество попыток на порядок.
Я писал про свой опыт тут:
habr.com/ru/post/487056установите ограничение на количество попыток ввода пароля тремя, максимум, пятью попытками
Ага, это прям удобный способ DOS-ить ваших пользователей. Любого пользователя можно заблокировать и путь ищет админа…schvii Автор
21.10.2022 22:20а что мешает создать RDP подключение с сохраненным паролем? И если сотрудник не может запомнить свой собственный пароль который сам придумал - может проще сотрудника нового поискать чем админа?
SlavikF
21.10.2022 22:28+1я не про это.
А про то, что если «установить ограничение на количество попыток ввода пароля», то злоумышленник, зная username пользователя может легко заблокировать (DOS — Denial Of Service) его (чужую) учётку.
resetsa
21.10.2022 20:50+2На самом деле такие параметры блокировки это больше вред.
Представьте, что кто-то получил ваши логины и заблокировал их все. Как будете заходит в домен/комп?
Назначение блокировок — сделать перебор очень долгим, т.е блокировка на 10 минут после 5 неправильных логинов вполне поможет.
Да, и если вы в проде в организации >400 человек выставите блок после 3 попыток на 9000 минут, сотрудники техподдержки скажут вам «большое спасибо» и кол-во решенных заявок сильно увеличитсяschvii Автор
21.10.2022 22:24суть статьи - для начинающих админов, для которых слова Mikrotik и прочее как ужас. А вообще в идеале дополнить данную статью чем-то вроде IPban - тогда точно будет более чем достаточная защита RDP без VPN и прочего. В принципе, это я и сделаю
vadimr
21.10.2022 22:12Совет изменить стандартный порт RDP 3389 на какой-нибудь другой уже не актуален несколько лет: различные программы, те же zmap/nmap позволяют просканировать все IP адреса в сети Интернет в течение суток и выяснить какие порты открыты на вашем устройстве.
Обычно переборные атаки принято детектировать и запрещать на маршрутизаторе.
schvii Автор
21.10.2022 22:27Не всегда есть возможность это сделать, некоторые организации даже при количестве сотрудников >80 используют обычный домашний роутер. Я решил дополнить статью IPban'ом. Думаю, сегодня и допишу
dmbarsukov
22.10.2022 10:47Микротик например не умеет определять правильный ли пароль на rdp ввел пользователь. Только перевешивать порт а на стандартный вешать ханипот с баном по ip
vak0
21.10.2022 23:40+1Странная табличка. Имеет смысл только если злоумышленник заранее знает, какой алфавит был использован при генерации пароля. А так, даже если я, например, использую только маленькие буквы, перебирать-то придется все равно все символы. Если только, конечно, это не массовая атака типа «а посмотрим, у кого тут пароли из одних маленьких букв».
evros
22.10.2022 13:53+1Кстати, забыл добавить. Для тупого детекта брута создал с два десятка фейковых учеток по типу Админ, босс, бухгалтер и т.д.
А далее детект блокировки и выявление источника.
lhav
Выбрал "Другое". Всегда стараюсь использовать шлюз RDGW, если такой возможности нет, и RDP торчит наружу, то использую Honeyport + Port Cnoсking, и RDP порт само собой не стандартный. Реализована даная связка на Mikrotik.
schvii Автор
Однако) Очень даже эффективный способ.