Databáze znalostí: Firmy

Jak produktem ESET odhalit pokus o vzdálenou kompromitaci serveru?

Autor: | Poslední úprava: 26.11.2019 09:08:49

Pokud přistupujete na Windows server prostřednictvím RDP, měli byste Remote Desktop Services aktualizovat a spravovat stejně, jako jakoukoli jinou součást operačního systému. Představuje totiž potenciální riziko a jednu z možností, jak se útočník může dostat do firemní sítě, a například zašifrovat data. Jde především o případy, kdy je k serveru možný přístup z internetu.

V rámci prevence a poskytnutí vyšší úrovně ochrany jsou serverové produkty od verze 7 vybaveny modulem firewallu, který doplňuje vrstvu zabezpečení o ochranu proti síťovým útokům (IDS) společně s ochranou proti zapojení do botnetu. Dokáží vás upozornit a případně zablokovat pokusy o průnik do systému prostřednictvím známých zranitelností, stejně tak na snahu o prolomení uživatelského účtu prostřednictvím služby vzdálená plocha (RDP). V tomto článku si ukážeme, kde tyto informace v produktu najít, abyste je mohli využít k lepšímu zabezpečení své sítě, a jak si nastavit upozornění na tyto útoky.

Důležité:
Serverové produkty nejsou vybaveny firewallem stejně jako například produkt ESET Endpoint Security. Jakékoli restrikce na síťové úrovni je nutné řešit ve firewallu operačního systému, případně hraničním firewallu.
Součástí IDS a ochranou proti zapojení do botnetu jsou vybaveny rovněž aktuální verze produktů ESET Endpoint Antivirus a ESET NOD32 Antivirus.

Mám RDP zabezpečené proti zranitelnosti BlueKeep?

Remote Desktop Services v nepodporovaných operačních systémech Microsoft Windows obsahuje zranitelnost CVE-2019-0708 označovanou jako BlueKeep. Pokud máte RDP aktivní, doporučujeme podle níže uvedených kroků ověřit, zda máte systém záplatován.

Stáhněte si nástroj ESET BlueKeep Vulnerability Checker a uložte jej například na Plochu: Stáhnout

Spusťte nástroj esetbluekeepchecker.exe a vyčkejte na dokončení kontroly.

ESET BlueKeep Vulnerability Checker

Upozornění

Je dobré vědět:
Pokud se vám zobrazí informace Your computer is vulnerable, přejděte do katalogu služby Microsoft Update a stáhněte si z něj aktualizaci KB4500331.

Kde najít v produktu ESET potřebné informace?

Spravuji server samostatně

Přímo na serveru informace naleznete v hlavním okně programu na záložce Protokoly > Síťová ochrana.

Když si v databázi AbuseIPDB vyhledáváme IP adresu 78.128.112.14, zjistíme, že se jedná o známý zdroj útoků. Jelikož komunikace zároveň pochází ze známého botnetu, byla produktem ESET detekce označena jako Botnet.CnC.Generic.

Používám centrální správu

Ve spravovaných prostředích si otevřete webovou konzoli pro správu (ESET Cloud Administrator / ESET Security Management) a přejděte v hlavním menu na záložku Detekce.

Klikněte na tlačítko Přidat filtr a přidejte si následující filtry:

  • Kategorie detekce: Firewall
  • Typ detekce: Zneužití bezpečnostní zranitelnosti

Následně se zobrazí seznam všech detekcí ve vaší síti odpovídajících definovanému filtru.

Níže uvádíme příklad toho, jak mohou vypadat detaily zaznamenaného pokusu o průnik:

Když si v databázi AbuseIPDB vyhledáváme IP adresu 78.128.112.14, zjistíme, že se jedná o známý zdroj útoků. Jelikož komunikace zároveň pochází ze známého botnetu, byla produktem ESET detekce označena jako Botnet.CnC.Generic.

Jak si nastavit oznámení na pokusy o přihlášení na server?

Na zaznamenané pokusy se můžete nechat upozornit, například e-mailem zaslaným z konzole.

V hlavním menu konzole přejděte na záložku Oznámení, klikněte na tlačítko Nové oznámení.
V sekci Obecné definujte podmínky následovně:
  • Událost . Události na spravovaných počítačích
  • Kategorie . Detekce firewallem
  • Operátor AND
  • Cílový port = 3389 nebo obecně Událost = Zneužití bezpečnostní zranitelnosti

V sekci Rozšířená nastavení si nastavte vhodnou agregaci. Použijte časové kritérium a do pole časové období zadejte například 2 minuty.
Je dobré vědět:
Pokud agregaci nenastavíte, při velkém množství souběžných útoků obdržíte neúměrné množství e-mailů.

V sekci Distribuce zadejte e-mailovou adresu a dle svých potřeb si modifikujte předmět a obsah zprávy.
Poznámka:
Pro zasílání oznámení e-mailem je nutné nejprve nakonfigurovat připojení k SMTP serveru. Oznámení si můžete nechat zasílat rovněž do syslogu.

Obecná doporučení

Níže uvádíme best practise, které vám pomohou při zabezpečení serveru:

  • Zamezte dostupnosti serveru z regionů, které vévodí statistikám napadených zemí/zdrojů útoků. Povolte přístup na server pouze z určitých IP adres.
  • Přístup na server povolte výhradně z interní sítě. V případě externího přístupu se nejprve prostřednictvím VPN připojte do firemní sítě.
  • Implementujte dvoufaktorovou autentifikaci na účty, které se mohou k serveru připojovat - například prostřednictvím ESET Secure Authentication.
  • Aktivujte lock policy na uživatelský účet.
Je dobré vědět:
Pokusy o přihlášení můžete sledovat v bezpečnostním protokolu operačního systému (Windows Log > Security). Stačí filtrovat události s identifikátorem 4625 (Failure Reason: Unknown user name or bad password).

Štítky: kompromitace serveru, neautorizované připojení k RDP, ochrana RDP, zabezpečení vzdálené plochy, bluekeep, rdp botnet