Защита от брутфорса rdp
Защита удаленного сервера - забота каждого специалиста, отвечающего за безопасность сервера компании. Базовые советы - это смена стандартного порта. и установка программ защищающих открытые порты.
Обычно эти приложения анализируют логи и отслеживают количество подключений за заданный интервал времени. Если количество подключений превышает заданное IP-адрес блокируется.
Однако у таких программ есть два основных недостатка.
Первый заключается в том, что для работы программы требуется установка её на сервер, а это само по себе несёт определённые риски. Установка стороннего программного обеспечения может подрывать безопасность сервера, и многие из этих приложений требуют повышения привилегий для доступа к логам и системным событиям. Это создаёт дополнительную уязвимость.
Второй недостаток – эффективность таких программ ограничена. Они хорошо справляются лишь с элементарными попытками подбора пароля. Когда атаки осуществляются с высоким темпом и фиксированным количеством подключений, действительно, IP-адрес будет заблокирован. Но это далеко не единственный способ брутфорса.
Мы провели эксперимент: открыли порты, запустили записи логов и стали наблюдать. В результате мы заметили, что IP-адреса с постоянными и агрессивными попытками подключения немедленно блокировались. Но вскоре стало очевидно, что есть и более осторожные инструменты, которые действуют иначе: они делают несколько подключений, делают паузу, и затем вновь возвращаются. Некоторые из этих IP также были заблокированы, но в итоге мы столкнулись с проблемой: в наших логах оказалось множество адресов, которые вели себя так тихо и незаметно, что программы-защитники их просто игнорировали.
В итоге можно сделать вывод, что стандартные решения по защите удалённых серверов не решат проблемы полностью. Они не способны справиться с более изощрёнными методами атак, и полагаться только на такие программы — значит открывать двери многим рискам. Это подчеркивает важность комплексного подхода к безопасности, где защитные приложения лишь один из элементов общей стратегии.
Вот пример реального фрагмента лога, показывающего сканирование портов:
Oct 24 17:45:58 63210
Oct 26 18:40:45 50075
Nov 04 20:56:42 6379
Nov 11 10:05:49 9090
Nov 12 20:21:13 427
Nov 13 14:33:46 800
Nov 16 16:53:15 3128
Nov 18 05:40:34 51200
Nov 18 19:55:46 63256
Nov 25 20:48:47 20256
Nov 28 06:28:35 8123
Dec 01 03:49:54 8000
Dec 02 11:58:55 58888
Dec 03 15:33:32 4369
Dec 06 08:23:50 3001
Dec 07 06:06:51 51200
Dec 09 03:27:48 2095
Dec 10 10:08:40 9643
Dec 15 07:49:35 5007
Dec 16 13:37:21 2031
Dec 17 10:29:18 86
Dec 18 13:36:54 6080
Dec 21 05:22:46 9200
Dec 21 16:20:17 89
Dec 25 12:55:29 9200
Dec 30 14:41:39 4444
Dec 31 17:07:36 2096
Все порты, на которые направлены попытки подключений, закрыты, бот не получает ответа. Тем не менее, атакующие продолжают свои попытки. Это не нацелено на один конкретный порт, а представляет собой сканирование всего диапазона доступных портов.
Из лога видно, что подключения происходят очень редко; бывают дни, когда не удаётся зафиксировать ни одной попытки. Многие могут подумать, что ничего страшного в этом нет, ведь одно подключение в день — это незначительно. Однако, если посмотреть на статистику за 60 дней, мы выявили 2800 уникальных IP-адресов.
Если предположить, что каждый из этих адресов делает хотя бы по одному подключению в день, то это уже составляет 2800 попыток в день. За неделю это выльется в 19600 попыток, а за 60 дней — в 168000 проверок паролей. Это уже выглядит серьёзно, не так ли?
Важно отметить, что дело не только в количестве подключений в день. Проблема заключается в том, что эти атаки происходят незаметно и могут длиться крайне долго, что создаёт угрозу для безопасности системы.
Данный фрагмент логов демонстрирует активность бота, когда открытый порт найден.
Dec 15 22:16:17 162.243.116.182 4000
Dec 15 22:16:21 162.243.116.182 2000
Dec 15 22:16:21 162.243.116.182 2024
Dec 15 22:16:24 162.243.116.182 5011
Dec 17 15:33:29 162.243.116.182 4000
Dec 19 17:30:05 162.243.116.182 2000
Dec 20 4:19:38 162.243.116.182 5011
Dec 20 4:26:11 162.243.116.182 4000
Dec 20 5:18:07 162.243.116.182 2000
Dec 22 7:22:20 162.243.116.182 4000
Dec 23 2:50:31 162.243.116.182 2000
Dec 23 11:23:34 162.243.116.182 2000
Dec 23 14:26:18 162.243.116.182 2024
Dec 24 14:46:17 162.243.116.182 5011
Dec 24 14:46:32 162.243.116.182 4000
Dec 25 5:02:50 162.243.116.182 3020
Dec 25 5:03:27 162.243.116.182 3389
Dec 26 1:06:02 162.243.116.182 4000
Dec 26 4:44:21 162.243.116.182 2000
Dec 26 9:08:17 162.243.116.182 4000
Dec 26 9:09:00 162.243.116.182 3020
Dec 26 9:09:16 162.243.116.182 2024
Dec 27 5:47:04 162.243.116.182 2000
Dec 28 14:08:25 162.243.116.182 5011
Dec 30 4:13:29 162.243.116.182 3389
Dec 30 11:15:08 162.243.116.182 4000
Dec 30 19:49:09 162.243.116.182 3020
Dec 31 4:03:49 162.243.116.182 2000
Dec 31 15:34:11 162.243.116.182 5011
Например, порт 4000, первое подключение 15.12, следующее 17.12, 20.12, 22.12, 24.12, 26.12, 30.12.
Программы его не видят, он не подпадает под параметры блокировки.
Также следует упомянуть такие сервисы, как shodan, censys, driftnet, internet measurement, shadowserver, leakix, zoomeye и другие. Эти платформы выполняют задачу по составлению "карты интернета", но фактически они просто сканируют все доступные IP-адреса на наличие открытых портов, собирая и продавая эту информацию. Они занимаются этой деятельностью профессионально, и упомянутый выше IP-адрес в логах принадлежит одной из организаций из этого списка. Как видно, проверка доступности порта осуществляется не однократно, а с определённой периодичностью.
Использование специализированных инструментов и сервисов, действительно позволяет организациям понимать, какие устройства доступны в интернете, и обнаруживать потенциальные уязвимости. Эти сервисы не обязательно осуществляют атаки, однако их деятельность может привести к тому, что злоумышленники получат информацию о доступных уязвимых системах.
Регулярное попадание ip этих организаций в различные спам базы ip, говорит о том, что сканирование портов не только мы считаем серой деятельностью.
Если вы хотите проверить, какие попытки подключения были к вашему серверу, свяжитесь с нами . Мы поможем быстро получить информацию о количестве подключений, IP-адресах злоумышленников и даже используемых логинах.
Наша компания обладает значительным опытом в данной области. Мы докажем вам, что защита может быть надежнее.