Защита от брутфорса rdp

Используете удаленный доступ? Но все ли чисто в логах на Вашем сервере?

По статистике в более чем 75% случаев оставалось незамеченным, что удаленный сервер находится под брутфорс атакой. Иногда до возникновения затруднений с подключением.

В какой момент и с чего начинается брутфорс? Есть ли какая-то начальная точка?

Да, такая точка  есть.  Дело в том, что был пропущен первый признак того, что ip сервера попал в список злоумышленников.

Как можно не заметить подбор паролей?

Перед брутфорсом всегда идет сканирование. И только после того, как будут отсканированы и обнаружены порты с доступными сервисами, начинается атака.

В сети множество обучающих материалов по данной теме:  как правильно сканировать ip, где брать диапазоны для сканирования, где скачать словари для брутфорса, как сделать свое присутствие максимально незаметным и т.д. Например, по ip можно примерно понять месторасположение оборудования, и подбирать пароли только в ночное время. В этом случае, шанс быть замеченным значительно снижается.

Всегда первый этап при брутфорсе - это сканирование диапазонов ip. Новый ip, на котором, при проверке возможности подключения, ответит какая-либо служба, будет отсканирован в самое ближайшее время. Мы проводили замеры, время на сканирования нового ip, с открытым rdp портом,  составило примерно 20 минут, на нестандартном - максимум 24 часа. Т.е., примерно, через сутки о возможности подключиться на Ваш ip, уже будут знать почти все заинтересованные.

Сейчас, для сканирования диапазонов и портов, в основном, используется программа masscan .

«MASSCAN: Массовый сканер IP-портов. Это сканер портов интернет-масштаба. Он может сканировать весь Интернет менее чем за 5 минут, передавая 10 миллионов пакетов в секунду с одной машины.» И это не ошибка, при хорошем канале и без надзора провайдера это вполне реально.

Современный брутфорс  - это давно не те примитивные "стучалки", все шагнуло далеко вперед. Представьте, 10 подключений в день, в разное время, разные интервалы между подключениями. Подключения не каждый день. Казалось бы, что в этом серьезного, но, предположим, что подключения происходят с  2000 разных ip. И вот, всего за один день, выходит 20 000 проверок логина и пароля. Неделя, умножаем еще на 7. и т.д. А если ip, с которых происходят подключения, 10 000? Мы встречали ситуации с 12 000 000 подключений за 24 часа. Конфигурация, тип и версия операционной системы, в этом случае, не важны, брутфорсу подвержены любые сервера.

Стоит ли проверять, были сгенерированы или засветились ли где-то подобный логин и пароль?

От брутфорса страдают не только мегакорпорации, часто, при обнаружении атаки на удаленный рабочий стол, пользователи недоумевают - кому я нужен, я ИП и у меня 3 сотрудника, но дело не конкретно в Вас, дело в попавшем в список ботнета ip. Если удалось подобрать логин и пароль, как правило, начинается вымогание денег.

И даже заплатив не факт, что пришлют способ расшифровки или пароль от архива. Сервер могут просто перепродать для рассылок спама, взлома других серверов.

К слову о словарях, по которым происходит подбор пароля. Например,  10 миллионов вариантов из словаря - это, примерно 100 Мб. Существуют словари по 30 Гб и, скорее всего, это не предел.

Использование надежных и сложных паролей правильно, но попыток подключения может стать настолько много, что служба RDP просто не будет успевать обрабатывать запросы на установку соединения, и как раз в этот момент возникнет проблема у всех пользователей, к серверу будет невозможно подключиться.

Если предотвратить первый этап, если ip вашего оборудования не ответит на попытки сканирования, то и брутфорса можно будет избежать. Это как подменный номер телефона, все нежелательные звонки и сообщения будут заблокированы, и при этом никто не узнает Ваш настоящий номер телефона.

Хотите проверить стучатся ли к Вам?

Сообщите нам, и Вы самостоятельно, затратив минимальное количество времени, сможете получить  список ip, количество попыток соединения с каждого ip и список  логинов, с которыми были попытки подключиться на Ваш сервер. Вы можете  сами увидеть,  что происходит в журналах безопасности, не копаясь в логах.

Подводя итог, можно однозначно сказать, что для работы сервера никогда не стоит пренебрегать дополнительной безопасностью.

Протестировать защиту для Вашего сервера, Вы можете абсолютно бесплатно.

Защитите сейчас свой сервер
бесплатно на тестовый период
* поле, обязательное для заполнения