Jak produktem ESET odhalit pokus o vzdálenou kompromitaci serveru?Autor: | Poslední úprava: 26.11.2019 09:08:49
|
|||||||||||||||||||||||
Pokud přistupujete na Windows server prostřednictvím RDP, měli byste Remote Desktop Services aktualizovat a spravovat stejně, jako jakoukoli jinou součást operačního systému. Představuje totiž potenciální riziko a jednu z možností, jak se útočník může dostat do firemní sítě, a například zašifrovat data. Jde především o případy, kdy je k serveru možný přístup z internetu. V rámci prevence a poskytnutí vyšší úrovně ochrany jsou serverové produkty od verze 7 vybaveny modulem firewallu, který doplňuje vrstvu zabezpečení o ochranu proti síťovým útokům (IDS) společně s ochranou proti zapojení do botnetu. Dokáží vás upozornit a případně zablokovat pokusy o průnik do systému prostřednictvím známých zranitelností, stejně tak na snahu o prolomení uživatelského účtu prostřednictvím služby vzdálená plocha (RDP). V tomto článku si ukážeme, kde tyto informace v produktu najít, abyste je mohli využít k lepšímu zabezpečení své sítě, a jak si nastavit upozornění na tyto útoky.
Mám RDP zabezpečené proti zranitelnosti BlueKeep?Remote Desktop Services v nepodporovaných operačních systémech Microsoft Windows obsahuje zranitelnost CVE-2019-0708 označovanou jako BlueKeep. Pokud máte RDP aktivní, doporučujeme podle níže uvedených kroků ověřit, zda máte systém záplatován.
Kde najít v produktu ESET potřebné informace?Spravuji server samostatněPřímo na serveru informace naleznete v hlavním okně programu na záložce Protokoly > Síťová ochrana. Když si v databázi AbuseIPDB vyhledáváme IP adresu 78.128.112.14, zjistíme, že se jedná o známý zdroj útoků. Jelikož komunikace zároveň pochází ze známého botnetu, byla produktem ESET detekce označena jako Botnet.CnC.Generic. Používám centrální správuVe spravovaných prostředích si otevřete webovou konzoli pro správu (ESET Cloud Administrator / ESET Security Management) a přejděte v hlavním menu na záložku Detekce. Klikněte na tlačítko Přidat filtr a přidejte si následující filtry:
Následně se zobrazí seznam všech detekcí ve vaší síti odpovídajících definovanému filtru. Níže uvádíme příklad toho, jak mohou vypadat detaily zaznamenaného pokusu o průnik: Když si v databázi AbuseIPDB vyhledáváme IP adresu 78.128.112.14, zjistíme, že se jedná o známý zdroj útoků. Jelikož komunikace zároveň pochází ze známého botnetu, byla produktem ESET detekce označena jako Botnet.CnC.Generic. Jak si nastavit oznámení na pokusy o přihlášení na server?Na zaznamenané pokusy se můžete nechat upozornit, například e-mailem zaslaným z konzole.
Obecná doporučeníNíže uvádíme best practise, které vám pomohou při zabezpečení serveru:
Štítky: kompromitace serveru, neautorizované připojení k RDP, ochrana RDP, zabezpečení vzdálené plochy, bluekeep, rdp botnet | |||||||||||||||||||||||
|