Защита от брутфорса rdp

Защита удаленного сервера - забота каждого специалиста, отвечающего за безопасность сервера компании. Базовые советы - это смена стандартного порта. и установка программ защищающих открытые порты.

Обычно эти приложения анализируют логи и отслеживают количество подключений за заданный интервал времени. Если количество подключений превышает заданное IP-адрес блокируется.

Однако у таких программ есть два основных недостатка.

Первый заключается в том, что для работы программы требуется установка её на сервер, а это само по себе несёт определённые риски. Установка стороннего программного обеспечения может подрывать безопасность сервера, и многие из этих приложений требуют повышения привилегий для доступа к логам и системным событиям. Это создаёт дополнительную уязвимость.

Второй недостаток – эффективность таких программ ограничена. Они хорошо справляются лишь с элементарными попытками подбора пароля. Когда атаки осуществляются с высоким темпом и фиксированным количеством подключений, действительно, IP-адрес будет заблокирован. Но это далеко не единственный способ брутфорса.

Мы провели эксперимент: открыли порты, запустили записи логов и стали наблюдать. В результате мы заметили, что IP-адреса с постоянными и агрессивными попытками подключения немедленно блокировались. Но вскоре стало очевидно, что есть и более осторожные инструменты, которые действуют иначе: они делают несколько подключений, делают паузу, и затем вновь возвращаются. Некоторые из этих IP также были заблокированы, но в итоге мы столкнулись с проблемой: в наших логах оказалось множество адресов, которые вели себя так тихо и незаметно, что программы-защитники их просто игнорировали.

В итоге можно сделать вывод, что стандартные решения по защите удалённых серверов не решат проблемы полностью. Они не способны справиться с более изощрёнными методами атак, и полагаться только на такие программы — значит открывать двери многим рискам. Это подчеркивает важность комплексного подхода к безопасности, где защитные приложения лишь один из элементов общей стратегии.

Вот пример реального фрагмента лога, показывающего сканирование портов:

Oct    24    17:45:58    63210
Oct    26    18:40:45    50075
Nov    04    20:56:42    6379
Nov    11    10:05:49    9090
Nov    12    20:21:13    427
Nov    13    14:33:46    800
Nov    16    16:53:15    3128
Nov    18    05:40:34    51200
Nov    18    19:55:46    63256
Nov    25    20:48:47    20256
Nov    28    06:28:35    8123
Dec    01    03:49:54    8000
Dec    02    11:58:55    58888
Dec    03    15:33:32    4369
Dec    06    08:23:50    3001
Dec    07    06:06:51    51200
Dec    09    03:27:48    2095
Dec    10    10:08:40    9643
Dec    15    07:49:35    5007
Dec    16    13:37:21    2031
Dec    17    10:29:18    86
Dec    18    13:36:54    6080
Dec    21    05:22:46    9200
Dec    21    16:20:17    89
Dec    25    12:55:29    9200
Dec    30    14:41:39    4444
Dec    31    17:07:36    2096

Все порты, на которые направлены попытки подключений, закрыты, бот не получает ответа. Тем не менее, атакующие продолжают свои попытки. Это не нацелено на один конкретный порт, а представляет собой сканирование всего диапазона доступных портов.

Из лога видно, что подключения происходят очень редко; бывают дни, когда не удаётся зафиксировать ни одной попытки. Многие могут подумать, что ничего страшного в этом нет, ведь одно подключение в день — это незначительно. Однако, если посмотреть на статистику за 60 дней, мы выявили 2800 уникальных IP-адресов.

Если предположить, что каждый из этих адресов делает хотя бы по одному подключению в день, то это уже составляет 2800 попыток в день. За неделю это выльется в 19600 попыток, а за 60 дней — в 168000 проверок паролей. Это уже выглядит серьёзно, не так ли?

Важно отметить, что дело не только в количестве подключений в день. Проблема заключается в том, что эти атаки происходят незаметно и могут длиться крайне долго, что создаёт угрозу для безопасности системы.

Данный фрагмент логов демонстрирует активность бота, когда открытый порт найден.

Dec     15     22:16:17     162.243.116.182    4000
Dec     15     22:16:21     162.243.116.182    2000
Dec     15     22:16:21     162.243.116.182    2024
Dec     15     22:16:24     162.243.116.182    5011
Dec     17     15:33:29     162.243.116.182    4000
Dec     19     17:30:05     162.243.116.182    2000
Dec     20      4:19:38     162.243.116.182    5011
Dec     20      4:26:11     162.243.116.182    4000
Dec     20      5:18:07     162.243.116.182    2000
Dec     22      7:22:20     162.243.116.182    4000
Dec     23      2:50:31     162.243.116.182    2000
Dec     23     11:23:34     162.243.116.182    2000
Dec     23     14:26:18     162.243.116.182    2024
Dec     24     14:46:17     162.243.116.182    5011
Dec     24     14:46:32     162.243.116.182    4000
Dec     25      5:02:50     162.243.116.182    3020
Dec     25      5:03:27     162.243.116.182    3389
Dec     26      1:06:02     162.243.116.182    4000
Dec     26      4:44:21     162.243.116.182    2000
Dec     26      9:08:17     162.243.116.182    4000
Dec     26      9:09:00     162.243.116.182    3020
Dec     26      9:09:16     162.243.116.182    2024
Dec     27      5:47:04     162.243.116.182    2000
Dec     28     14:08:25     162.243.116.182    5011
Dec     30      4:13:29     162.243.116.182    3389
Dec     30     11:15:08     162.243.116.182    4000
Dec     30     19:49:09     162.243.116.182    3020
Dec     31      4:03:49     162.243.116.182    2000
Dec     31      15:34:11     162.243.116.182    5011

Например, порт 4000, первое подключение 15.12, следующее 17.12, 20.12, 22.12, 24.12, 26.12, 30.12.

Программы его не видят, он не подпадает под параметры блокировки.

Также следует упомянуть такие сервисы, как shodan, censys, driftnet, internet measurement, shadowserver, leakix, zoomeye и другие. Эти платформы выполняют задачу по составлению "карты интернета", но фактически они просто сканируют все доступные IP-адреса на наличие открытых портов, собирая и продавая эту информацию. Они занимаются этой деятельностью профессионально, и упомянутый выше IP-адрес в логах принадлежит одной из организаций из этого списка. Как видно, проверка доступности порта осуществляется не однократно, а с определённой периодичностью.

Использование специализированных инструментов и сервисов, действительно позволяет организациям понимать, какие устройства доступны в интернете, и обнаруживать потенциальные уязвимости. Эти сервисы не обязательно осуществляют атаки, однако их деятельность может привести к тому, что злоумышленники получат информацию о доступных уязвимых системах.

Регулярное попадание ip этих организаций в различные спам базы ip, говорит о том, что сканирование портов не только мы считаем серой деятельностью.

Если вы хотите проверить, какие попытки подключения были к вашему серверу, свяжитесь с нами . Мы поможем быстро получить информацию о количестве подключений, IP-адресах злоумышленников и даже используемых логинах.  

Наша компания обладает значительным опытом в данной области. Мы докажем вам, что защита может быть надежнее.

Часто задаваемые вопросы

Как определить что была атака брутфорс по RDP??
В логах безопасности будут зафиксированы многочисленные попытки попыток установки соединения..
Как заблокировать IP атакующего RDP брутфорс?
Введите его в список блокировки на межсетевом экране и файрволе сервера.
Сколько неверных попыток входа по RDP допустимо?
Рекомендуется блокировать IP после 5-10 последовательных неудачных попыток.
Можно ли защититься на 100% от брутфорса RDP?
Полностью защититься нереально, но применение комплексных мер защиты позволит минимизировать риски.
Защитите сейчас свой сервер
бесплатно на тестовый период
* поле, обязательное для заполнения