Защита от брутфорса rdp
Используете удаленный доступ? Но все ли чисто в логах на Вашем сервере?
По статистике в более чем 75% случаев оставалось незамеченным, что удаленный сервер находится под брутфорс атакой. Иногда до возникновения затруднений с подключением.
В какой момент и с чего начинается брутфорс? Есть ли какая-то начальная точка?
Да, такая точка есть. Дело в том, что был пропущен первый признак того, что ip сервера попал в список злоумышленников.
Как можно не заметить подбор паролей?
Перед брутфорсом всегда идет сканирование. И только после того, как будут отсканированы и обнаружены порты с доступными сервисами, начинается атака.
В сети множество обучающих материалов по данной теме: как правильно сканировать ip, где брать диапазоны для сканирования, где скачать словари для брутфорса, как сделать свое присутствие максимально незаметным и т.д. Например, по ip можно примерно понять месторасположение оборудования, и подбирать пароли только в ночное время. В этом случае, шанс быть замеченным значительно снижается.
Всегда первый этап при брутфорсе - это сканирование диапазонов ip. Новый ip, на котором, при проверке возможности подключения, ответит какая-либо служба, будет отсканирован в самое ближайшее время. Мы проводили замеры, время на сканирования нового ip, с открытым rdp портом, составило примерно 20 минут, на нестандартном - максимум 24 часа. Т.е., примерно, через сутки о возможности подключиться на Ваш ip, уже будут знать почти все заинтересованные.
Сейчас, для сканирования диапазонов и портов, в основном, используется программа masscan .
«MASSCAN: Массовый сканер IP-портов. Это сканер портов интернет-масштаба. Он может сканировать весь Интернет менее чем за 5 минут, передавая 10 миллионов пакетов в секунду с одной машины.» И это не ошибка, при хорошем канале и без надзора провайдера это вполне реально.
Современный брутфорс - это давно не те примитивные "стучалки", все шагнуло далеко вперед. Представьте, 10 подключений в день, в разное время, разные интервалы между подключениями. Подключения не каждый день. Казалось бы, что в этом серьезного, но, предположим, что подключения происходят с 2000 разных ip. И вот, всего за один день, выходит 20 000 проверок логина и пароля. Неделя, умножаем еще на 7. и т.д. А если ip, с которых происходят подключения, 10 000? Мы встречали ситуации с 12 000 000 подключений за 24 часа. Конфигурация, тип и версия операционной системы, в этом случае, не важны, брутфорсу подвержены любые сервера.
Стоит ли проверять, были сгенерированы или засветились ли где-то подобный логин и пароль?
От брутфорса страдают не только мегакорпорации, часто, при обнаружении атаки на удаленный рабочий стол, пользователи недоумевают - кому я нужен, я ИП и у меня 3 сотрудника, но дело не конкретно в Вас, дело в попавшем в список ботнета ip. Если удалось подобрать логин и пароль, как правило, начинается вымогание денег.
И даже заплатив не факт, что пришлют способ расшифровки или пароль от архива. Сервер могут просто перепродать для рассылок спама, взлома других серверов.
К слову о словарях, по которым происходит подбор пароля. Например, 10 миллионов вариантов из словаря - это, примерно 100 Мб. Существуют словари по 30 Гб и, скорее всего, это не предел.
Использование надежных и сложных паролей правильно, но попыток подключения может стать настолько много, что служба RDP просто не будет успевать обрабатывать запросы на установку соединения, и как раз в этот момент возникнет проблема у всех пользователей, к серверу будет невозможно подключиться.
Если предотвратить первый этап, если ip вашего оборудования не ответит на попытки сканирования, то и брутфорса можно будет избежать. Это как подменный номер телефона, все нежелательные звонки и сообщения будут заблокированы, и при этом никто не узнает Ваш настоящий номер телефона.
Хотите проверить стучатся ли к Вам?
Сообщите нам, и Вы самостоятельно, затратив минимальное количество времени, сможете получить список ip, количество попыток соединения с каждого ip и список логинов, с которыми были попытки подключиться на Ваш сервер. Вы можете сами увидеть, что происходит в журналах безопасности, не копаясь в логах.
Подводя итог, можно однозначно сказать, что для работы сервера никогда не стоит пренебрегать дополнительной безопасностью.
Протестировать защиту для Вашего сервера, Вы можете абсолютно бесплатно.