Как стать автором
Обновить

Комментарии 38

Выбрал "Другое". Всегда стараюсь использовать шлюз RDGW, если такой возможности нет, и RDP торчит наружу, то использую Honeyport + Port Cnoсking, и RDP порт само собой не стандартный. Реализована даная связка на Mikrotik.

Однако) Очень даже эффективный способ.

Можно подробнее узнать, как это сделать?

портнокинг давно использую, никогда не сталкивался с Honeyport  и шлюз RDGW

  1. Доступ через Remote Desktop Gateway.

  2. А там, где прямой проброс, дополнительно установлен Cyberarms Intrusion Detection. Например, после трёх неверных вводов, IP лочится.

Интересно, получается это аналог Honeypot на RouterOS. Спасибо за информацию!

Классная софтина, сам такой стал пользоваться.

Дальше запускается стандартный перебор паролей, так называемый брут-форс. 

Винда в дефолтных настройках после 10 вводов делает КД на 5-10 с. т.е. условный 8-знак все равно будет перебираться годами.

В теории да, но по факту мы имеем каждый день взломанные учетки по RDP

Уже не раз на моей памяти обнаруживались дыры в RDP протоколе, в т.ч. нулевого дня, и сложность логинов-паролей никак в них не фигурировала, достаточно порта RDP "голым задом" в Интернете, чтобы получить первую картинку поста. Зашёл на первый попавшийся Микротик с белым айпи, и только по примитивной приманке из пяти стандартных портов за месяц 1230 IP в бане.

Просто создайте для админа другую учетку, а встроенную отключите. Атакуют по номеру SID, а у встроенноего админа SID всегда одна и та же и заведомо известна.

как раз об этом и писал - нужно отказаться от стандартных логинов и тем более от учетки "Администратор"

У меня администратор без пароля - пусть ломают :) в действителбности больше всего страданий изза перебора паролей - получается ддос и иногда пользователи даже не могут подключиться.

Использую бесплатный VeeamPN для генерации VPN сертификатов. Смог продавить идею, что подключаться можно только через VPN к корпоративной сети, а там уже пусть запускают RDP до нужных им виртуальных машин.

Почему не рассмотрен вариант 2FA?

Т.к. RDP без доп. софта такой возможности не предоставляет.

Добавил бы еще IPBan (аналог Fail2Ban). Мониторит подбор паролей и отправляет IP в бан.
Кроме того, на роутере добавить бан всех входящих соединений, если они не из России (90% атак идут с других стран).

IPBan — хорошее решение.
Пользую несколько лет, снижает количество попыток на порядок.
Я писал про свой опыт тут:
habr.com/ru/post/487056

установите ограничение на количество попыток ввода пароля тремя, максимум, пятью попытками


Ага, это прям удобный способ DOS-ить ваших пользователей. Любого пользователя можно заблокировать и путь ищет админа…

а что мешает создать RDP подключение с сохраненным паролем? И если сотрудник не может запомнить свой собственный пароль который сам придумал - может проще сотрудника нового поискать чем админа?

я не про это.

А про то, что если «установить ограничение на количество попыток ввода пароля», то злоумышленник, зная username пользователя может легко заблокировать (DOS — Denial Of Service) его (чужую) учётку.

А не лучше тогда настроить SSO для пользователей?
Ведь в сетях с windows+ad вроде можно так делать. Куда пользователю можно ходить - туда он без пароля и зайдёт.

Блокируется не пользователь, а IP атакующего.

Именно. Блокируется домашний IP 60-тилетнего главбуха, которая забыла, что писать, потому что на работе обычно переписывает с листочка под клавиатурой.

IP главбуха давно в белом списке, как и у всех, кто успешно логинился.

Дефолт-сити, полагаю? У нас здесь в далёком замкадье белый IP 180 целковых в месяц стоит.

На самом деле такие параметры блокировки это больше вред.
Представьте, что кто-то получил ваши логины и заблокировал их все. Как будете заходит в домен/комп?
Назначение блокировок — сделать перебор очень долгим, т.е блокировка на 10 минут после 5 неправильных логинов вполне поможет.
Да, и если вы в проде в организации >400 человек выставите блок после 3 попыток на 9000 минут, сотрудники техподдержки скажут вам «большое спасибо» и кол-во решенных заявок сильно увеличится

суть статьи - для начинающих админов, для которых слова Mikrotik и прочее как ужас. А вообще в идеале дополнить данную статью чем-то вроде IPban - тогда точно будет более чем достаточная защита RDP без VPN и прочего. В принципе, это я и сделаю

Совет изменить стандартный порт RDP 3389 на какой-нибудь другой уже не актуален несколько лет: различные программы, те же zmap/nmap позволяют просканировать все IP адреса в сети Интернет в течение суток и выяснить какие порты открыты на вашем устройстве. 

Обычно переборные атаки принято детектировать и запрещать на маршрутизаторе.

Не всегда есть возможность это сделать, некоторые организации даже при количестве сотрудников >80 используют обычный домашний роутер. Я решил дополнить статью IPban'ом. Думаю, сегодня и допишу

Мало какие маршрутизоторы поддерживают такую возможность

Микротик например не умеет определять правильный ли пароль на rdp ввел пользователь. Только перевешивать порт а на стандартный вешать ханипот с баном по ip

Странная табличка. Имеет смысл только если злоумышленник заранее знает, какой алфавит был использован при генерации пароля. А так, даже если я, например, использую только маленькие буквы, перебирать-то придется все равно все символы. Если только, конечно, это не массовая атака типа «а посмотрим, у кого тут пароли из одних маленьких букв».

Кстати, забыл добавить. Для тупого детекта брута создал с два десятка фейковых учеток по типу Админ, босс, бухгалтер и т.д.

А далее детект блокировки и выявление источника.

RDGW + VPN + фильтр по ip(на всякий случай)

1) На корп. портале тыкаем в кнопку, IP добавляется на mikrotik в ACL

2) Remote Gateway на не стандартном порту

3) Honeyport с блоком для 3389

В целом, хватает.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории