USSCLTD Mar 23 2023 at 15:52

Атаки на RDP и способы защиты от них

Easy

15 min

22K

Уральский центр систем безопасности corporate blogInformation Security*Network technologies*

Comments 11

BigDflz Mar 23 2023 at 16:55

Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
самое действенное решение. а ещё лучше не просто отключать, а фильтровать, точнее открывать порт RDP только для данного клиента прописывая адрес в роутере или каком другом входном устройстве. организовывается просто с помощью небольшого сайтика и телеграмбота. это не совсем двухфакторная авторизация. но работает стабильно.

Lazhu Mar 24 2023 at 08:16

sudo nmap –p 3389 -sU -sS –open 192.168.0.0/24

Если у вас локалка открыта наружу, вы сами себе злобный и заслуживаете быть взломанным

savostin Mar 24 2023 at 20:08

Можно ломать из локалки. Например какой-то хост в локалке открыт наружу, например вебсервер. Злобный хакер на этот хост положил исполняемый файл и уже с этого хоста nmap в локалку.

Lazhu Mar 24 2023 at 21:06

А это уже мисконфиг. Права либо на запись, либо на выполнение. Открывать на запись каталог со скриптами - такое себе. Опять же ССЗБ

savostin Mar 24 2023 at 21:10

Я имею в виду, что даже если у Вас RDP файерволом закрыт наружу, есть вероятность пропустить атаку с другого, менее защищенного хоста в локалке.

SignFinder Mar 24 2023 at 08:42

" Настроить политику блокировки при неудачных попытках ввода пароля. Рекомендуется установить значение блокировки равное 3. " - прикольно будет сотрудникам, которые будут получать заблокированные в AD УЗ, когда брутфорсеры будут их брутфорсить.

savostin Mar 24 2023 at 20:10

А насколько правильно лочить аккаунт после 3 попыток? В смысле, что делать, если кто-то подбирает пароль, а работать надо? Я заменил на fail2ban, т.е. лочится не аккаунт, а ip подбирающего пароль.

sa1ntik Mar 27 2023 at 06:48

Я заменил на fail2ban, т.е. лочится не аккаунт, а ip подбирающего пароль.

Но ведь угроза может быть не только внешняя, но и внутренняя. Поймала у вас тачка вирусню и заботилась/один из узлов оказался скомпроментирован/просто сотрудник решил внепланово "повысить свои привилегии". Банить свою внутреннюю сеть? Ну такое себе.

Так что, имхо, рекомендацию именно суспендить учётку поддерживаю, но с учётом того что RDP и прочие вещи наружу не торчат. Вообще снаружи можно оставить только необходимые для VPN подключения порты и всё.

savostin Mar 27 2023 at 10:43

Зачем сеть, конкретный ip, из какой сети он бы ни был...

sa1ntik Mar 27 2023 at 10:58

Зачем сеть, конкретный ip, из какой сети он бы ни был...

Недостаточно ясно выразился. Речь шла о конкретных девайсах во внутренней сети.

Так можно, условно, себе полсети перебанить при определённых обстоятельствах. Да и пароль могут начать перебирать и при физическом доступе к компьютеру.

Так что всё же блокировка УЗ при подозрении на перебор паролей от неё это меньшее из зол.

savostin Mar 27 2023 at 11:14

Ну, при физическом доступе долго перебирать, разве что каким-то эмулятором клавиатуры, вставленным в usb... Да и в Windows, если не ошибаюсь, при переборе пароля в окне логина лочится аккаунт и так. fail2ban блочит ip на какое-то время, так что забанить кого-то нехорошего, пусть даже всю сеть, если они подбирают пароль, на часик - самое то. Зато с правильным паролем с незабаненного ip или физически зайти можно всегда, в отличии от...