Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP





Вітаю, дорогі друзі, знайомі, відвідувачі та інші особистості. Як кажуть, раді бачити всіх знову.

Стаття сьогодні дещо незвичайна і буде присвячена захисту сервера по протоколу RDP, використовуючи анонімний проксі, а саме за допомогою сервісу SafeRDP. Втім, захищати можна таким чином не тільки сервер, але просто який-небудь комп’ютер, до якого Ви підключаєтеся за допомогою вищезгаданого протоколу. Причому, власне, не тільки захищати, але і приховувати його фізичне місце розташування.

Для тих, хто ще з якихось причин не знайомий з RDP (а таких людей предостатньо), ми поки коротко (бо з часом ми присвятимо цей темі окремий цикл статей або рубрику) скажемо, що RDP представляє з себе протокол віддаленого робочого столу ( Remote Desktop Protocol) і дозволяє підключатися до іншого комп’ютера / сервера / влаштуванню і управляти оним віддалено так, ніби Ви сидите перед ним фізично.

Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP

Штука ця знайома не з чуток всім тлумачним системним адміністраторам, багатьом айтішникам і деяким простим користувачам (які, як правило, виступали в якості, так би мовити, оператора віддаленого комп’ютера). Для звичайних користувачів, до речі, річ зручна у випадку, якщо у Вас вдома кілька комп’ютерів і лінь ходити з кімнати в кімнату, щоб допомогти родичу, або ж Вам хочеться підключатися з робочого комп’ютера на домашній і навпаки .. Загалом, застосувань безліч, але ми зараз не про те.

Так от, давайте поговоримо про тему статті, а саме про те, як захистити від злому, приховати фізичне місце розташування і взагалі всіляко убезпечити свій сервер / комп’ютер / пристрій. До речі, рішення це, з певних причин, буде корисно і всіляким бізнесменам, провідним свій бізнес в Росії.

Поїхали.

Захист сервера і IP-адреси RDP. Загальна концепція

Що ми, власне, з Вами маємо зазвичай спочатку? Спочатку наш сервер / комп’ютер / пристрій має власний IP-адресу і, як правило, стандартний RDP-порт для підключення до нього. Припустимо, що це 81.133.135.22:3389. Багато наївно вважають, що обчислити цю адресу складно і вони надійно захищені, хоча насправді це далеко не так. Чому? Мінімум тому, що:

По-перше, знайти цю адресу досить легко і зробити це можна методом банального перебору, чим і займаються типові сканери, доступні кожному цікавому користувачеві (я вже мовчу про досвідчених зловмисників і хакерів) в інтернеті ..Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP

А так же написані спеціально для того черв’яки, віруси та інша шушера, здатні створювати єдиний ботнет, який не просто займається скануванням діапазонів і портів, але й може підбирати паролі і взагалі займатися багатьма цікавими речами.

По-друге, процес пошуку спрощується в рази, якщо на сервері розгорнуть web з усіма приблудами і сайт, який на ньому крутиться .. Ну, або інший функціонал, що дивиться, вибачте на слові, «попою» в інтернет. Часом тут не завжди рятує навіть фаерволл.

По-третє .. перераховувати не буду з ряду причин (зокрема, безпеку Ваших пристроїв і серверів), але є ще кілька зручних способів знайти IP-адресу і порт сервера, будь то RPD, SSH або інші цікаві доступи для всяких шкідливих цілей.

Що далі? Далі, знаючи цю саму адресу, можна отримати доступ до сервера, а також довідатися плюс-мінус його фізичний місце розташування. З приводу фізичного місця розташування — це скоріше важливо для компаній, ніж для домашніх користувачів, але все ж інколи відіграє важливу роль і для деяких приватних осіб. У чому тут проблема? У тому, що можна отримати не тільки фізичне положення пристрою, але і тип ОС, конфігурацію устаткування / ПО та інші дані, які спрощують злом системи і її використання в шахрайських цілях.

Що стосується отримання доступу, то робиться це теж не дуже складно, хоча, звичайно, тут грає роль складність логіна-пароля, а так само кількість відкритих портів і ступінь їх захищеності. Приклад простого перебору автоматом зустрічається частенько, благо всякої автоматичної шушера, як ми і говорили, гуляє безліч.

Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP

При цьому далеко не завжди важливо, працювали Ви через стандартний порт або через який-небудь ще, бо, як я говорив вище, — перебір портів штука теж цілком собі проста, а на скріншоті, до речі, прикладів спроби перебору як раз таки при роботі через нестандартний порт. Знову ж таки, припустимо, що Ваш сервер / пристрій / комп’ютер захищений цілком собі надійно, але чи не бентежить Вас необхідність витрачати ресурси системи і трафік на захист від стабільного флуду і сканування (причому часом відразу з 10-тка різних IP-адрес, що робить неможливим стабільну швидку блокування за правилом) навіть з використанням фаєрволла? Думаю, що багатьох би це не порадувало. Втім, давайте підемо далі.

Власне, перед нами постає завдання захисту сервера для безпечного доступу до нього через удалёнку, а так само, так би мовити, опціонально, в цілях приховати його фізичне місце розташування при перевірці через той же whois і nslookup. Причому зробити це треба якомога зручніше, швидше і максимально безпечніше, при всьому при цьому скоротивши власні витрати. На розум, само собою, приходить використання проксі або інших проміжних серверів з підміною адреси. Але реалізувати це безкоштовно видається не те щоб слабовозможним, але й далеко не зовсім безпечним. З платних варіантів зазвичай в голову приходить оренда обладнання / сервера / платних проксей або сервісів, се надають. Як приклад я хочу запропонувати Вам такий от сервіс, SafeRDP. Давайте поглянемо на нього детальніше.

Захист з використанням анонімного проксі і стороннього IP за допомогою SafeRDP

У чому суть? Сервіс дозволяє отримати IP-адресу (або декілька), так би мовити, «замість» рідного адреси сервера RDP, використовуючи їх проксі-сервера, а так само захищаючи з’єднання за допомогою шифрування + перенаправлення портів + ​​спираючись на iptables, тобто надаючи доступ тільки з певного списку ip-адрес, які Ви самі можете і задати. Більше того, надається софт, який, у разі проблем різного характеру, дозволяє закрити всі поточні з’єднання і сеанси віддаленого доступу, тобто фактично повністю обірвати доступ до сервера / комп’ютера / пристрою, якщо виникне позаштатна ситуація, наприклад, той же злом.

Якщо розглядати візуально (але спрощено), то ця конструкція, за заявами розробників, виглядає так:

Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP

Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP

Виглядає, звичайно, візуально ніби як наочно, але якось не дуже детально й докладно, тому звертаємося ще й до текстового опису сервісу від розробників, яке виглядає наступним чином:

Безпека й перевага нашої системи обумовлені наступним:

Підміна IP-адреси і порту сервера / пристрої (причому абсолютно незалежно від місця розташування сервера)

Захист від скануючих програм різного типу *

Завжди краще приховати сервер, чим остаточно знищити його або його дані в разі проблем зі зломом або позаштатних ситуацій

Управління доступністю сервера (нами надається ПЗ, що дозволяє управляти каналом зв’язку з сервером), що дозволяє переривати повністю сеанси зв’язку з доступом

Перенаправлення портів і наявність шифрування

Ніякого фізичного впливу на сервер (в тому числі, взагалі ніяких ресурсів заліза користувачів / сервера не використовується, т.е не створюється навантаження і немає необхідності щось додатково купувати / налаштовувати)

Вхід на сервер здійснюється з єдиного IP-адреси або його дублера

Наші співробітники не мають доступу до Вашого сервера ні в якому вигляді, так само як його не мають і зловмисники ззовні

Сервіс не має практично ніякого впливу на швидкість роботи, будь то зайві мережеві затримки або, як говорилося вище, фізичні ресурси

Відсутність «чорних ходів» (тобто немає передбачених, як кажуть, «на всякий випадок», способів обійти систему)

Відсутні порушення чинного законодавства, що робить сервіс законним і чесним

Простота настройки, бо впорається будь-який користувач з майже що будь-яким рівнем знань ПО

* — Захист від скануючих програм. Мається на увазі, що, в основному, у багатьох «інструкціях» до добування (злому) вказані три основні кроки, а саме: (1) — сканування діапазонів IP; (2) — сканування портів на доступних IP; (3) — процес підбору паролів. А тому, якщо, як мінімум, виключити перший крок, то подальших може і не бути. Наша система дозволяє це зробити.

Більш детальну інформацію можна почитати на сайті самого сервісу, чим і рекомендуємо Вам зайнятися.

Ми ж вважаємо, що слова словами, картинки картинками, а нам, як і завжди, важливо перевірити все вищенаписане наживо. Тому давайте в деталях подивимося, як це виглядає поетапно:

Для початку, власне, ми робимо замовлення послуги, щоб отримати пробний доступ і подивитися, що це за штука така, благо така функція є (купувати відразу кота в мішку було б нерозумно). Для цього переходимо на сайт і оформляємо пробний замовлення:Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDPПримітка: Вам, звичайно ж, не обов’язково писати саме такий лист за змістом, щоб отримати демо-доступ. Досить оформити замовлення, і Ви зможете перевірити сервіс на своєму каналі / обладнанні протягом певного проміжку часу.

У відповідь на заявку, як правило, приходить лист приблизно такого змісту (опубліковано з дозволу підтримки сервісу):

Здравствуйте.

Для налаштування послуги SafeRDP повідомте, будь ласка, на який IP / порт * має здійснюватися підключення.

Далі ми створюємо для Вас індивідуальне правило, і Ви підключаєтеся вже на новий наданий нами IP / порт.

* — Якщо не вказано, то використовується 3389 (порт за замовчуванням), а після додавання правила система SafeRDP протягом години буде готова до роботи.

Далі, власне, Вам залишається вказати свої дані та отримати тестовий доступ.

Після того, як все налаштовано і запрацювало, власне, залишається зробити перевірку. У найпростішому випадку це робиться шляхом команди «Пуск — Виконати — mstsc.exe» і натисканням кнопочки «ОК«:Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP

Де вводимо отримані дані, а саме IP + порт, а так само логін і, трохи пізніше, пароль. Після чого потрапляємо на свій рідний сервер, але за новою адресою:Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP

Що ж, вже добре. Значить, все працює.

Перевірити, так би мовити, нове місце розташування сервера, можна, скажімо, використовуючи whois або nslookup, благо онлайн-сервісів для того існує безліч.

Перевірити ж деякі інші нюанси можна, використовуючи сканери портів або сервіси, подібні послуги надають. Думаю, що для багатьох знайти оні не складе труднощів, а досвідчені адміністратори дещо почерпнуть для себе з банальних netstat і traceroute.

Так само дбайливі розробники сервісу діляться з Вами корисним скриптом, який очищає історію RDP-з’єднань:

ECHO OFF

:: Win 7 + win xp

:: Видаляє гілку реєстру в якій зберігаються записи про IP серверів на які заходив користувач

reg delete «HKEY_CURRENT_USER Software Microsoft Terminal Server Client» / f

:: Відключає запущений сеанс віддаленого робочого столу

taskkill / F / IM mstsc.exe

:: Стирає прихований файл Default.rdp який теж пам’ятає куди заходили (ХР)

pushd% USERPROFILE% Мої документи

del / A / S / F * .rdp

popd

:: Стирає прихований файл Default.rdp який теж пам’ятає куди заходили (WIN 7)

pushd% USERPROFILE% Documents

del / A / S / F * .rdp

popd

:: Видаляє всі ярлики * .rdp з робочого столу

pushd% USERPROFILE% Робочий стіл

del * .rdp

popd

:: Очищає диспетчер облікових даних

pushd% USERPROFILE% AppData Roaming Microsoft Credentials

del / Q / A H *. *

popd

:: Очищає диспетчер облікових даних

pushd% USERPROFILE% AppData Local Microsoft Credentials

del / Q / A H *. *

popd

:: Очищає список недавно використаних програм (рядок закоментований т.к цей файл для WIN7, якщо використовуємо XP то потрібно прибрати двокрапка на слід. Рядку)

:: Pushd% UserProfile% Recent

:: Del *. * / Q

:: Очищає список недавно використаних програм (WIN 7)

del% appdata% microsoft windows recent automaticdestinations * / Q / F

:: Стирає сам себе

del / Q / F% fpath %% ~ nx0

:: Стирає сам себе дубль два (про всяк випадок)

del% 0

Власне, ми перевірили. Працює.

До всього іншого, замовником після закінчення тестового періоду та оплати буде видана програма на випадок позаштатних ситуацій. Займається вона тим, що видаляє певну гілку реєстру (яка зберігає інформацію про IP, на які підключалися), стирає default.rdp з документів користувача (як правило, це є прихований файл), а ще, само собою, підтирає всі ярлики з робочого столу з розширенням * .rdp і збережені дані в диспетчері облікових даних. Після чого, она видаляє сама себе, заздалегідь закривши всі з’єднання і доступ до каналу. У випадку ж використання подібного відключення клієнт, за бажанням, повідомляє про намір відновити роботу каналу листом електронною поштою зі своєї поштової скриньки з вказівкою контрольної інформації. Листи, що не містять контрольну інформацію, ігноруються, що, як Ви розумієте, важливо для безпеки.

У двох словах якось так.

Ми покопирсався, в общем-то працює цілком бадьоро. Користуватися чи ні — вирішувати Вам.

Післямова

Така ось вийшла не зовсім стандартна стаття. Як і завжди, якщо є якісь питання, побажання, думки, доповнення та інше, то сміливо пишіть в коментарях до цього матеріалу.

Ну і, звичайно ж, залишайтеся з нами! Все, як і завжди, для Вас і тільки для Вас! Захист сервера за допомогою анонімного proxy для протоколу RDP SafeRDP