Schützen virtueller Computer mit JIT-VM-Zugriff
Bei Brute-Force-Anmeldeangriffen wird im Allgemeinen versucht, über Verwaltungsports Zugriff auf einen virtuellen Computer (VM) oder auf einen Server zu erlangen. Im Erfolgsfall kann ein Angreifer die Kontrolle über den Host erlangen und in Ihrer Umgebung Fuß fassen. Ein Brute-Force-Angriff besteht darin, alle möglichen Benutzernamen oder Kennwörter zu überprüfen, bis der oder das richtige gefunden wird.
Diese Art von Angriff ist nicht die ausgereifteste, aber Tools wie THC-Hydra machen ihn zu einem Angriff, der relativ einfach ausgeführt werden kann. Beispielsweise wird die folgende Befehlssequenz verwendet, um einen Windows-Server anzugreifen.
user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)
Beenden von Brute-Force-Angriffen
Für die Abwehr von Brute-Force-Angriffen eignen sich mehrere Maßnahmen, z. B.:
Deaktivieren Sie die öffentliche IP-Adresse, und verwenden Sie eine der folgenden Verbindungsmethoden:
- Ein vituelles privates Point-to-Site-Netzwerk (VPN).
- Erstellen eines Site-to-Site-VPN.
- Verwenden Sie Azure ExpressRoute zur Erstellung sicherer Verbindungen von Ihrem lokalen Netzwerk zu Azure.
Anfordern der zweistufigen Authentifizierung
Erhöhen der Kennwortlänge und Komplexität
Begrenzen der Anmeldeversuche
Implementieren von CAPTCHA
Begrenzen Sie die Zeitdauer, während der die Ports geöffnet sind.
Dieser letzte Punkt wird von Microsoft Defender für Cloud in Ihrem Namen implementiert. Verwaltungsports wie Remotedesktop und SSH müssen nur geöffnet sein, während Sie mit der VM verbunden sind, beispielsweise zum Ausführen von Verwaltungs- oder Wartungstasks. Die erweiterten Sicherheitsfeatures in Microsoft Defender für Cloud unterstützen Just-In-Time (JIT)-VM-Zugriff. Wenn JIT-VM-Zugriff aktiviert ist, verwendet Defender für Cloud Regeln für die Netzwerksicherheitsgruppe (Network Security Group, NSG), um den Zugriff auf Verwaltungsports einzuschränken. Der Zugriff ist eingeschränkt, wenn die Ports nicht verwendet werden, sodass Angreifer sie nicht als Ziel festlegen können.
Erstellen einer Richtlinie, die JIT-VM-Zugriff ermöglicht
Wenn Sie den JIT-VM-Zugriff für Ihre VMs aktivieren, können Sie eine Richtlinie erstellen, die Folgendes bestimmt:
- Die Ports, die geschützt werden sollen
- Die Dauer, mit der die Ports geöffnet bleiben sollen.
- Die genehmigten IP-Adressen, die auf diese Ports zugreifen können
Mithilfe der Richtlinie behalten Sie die Kontrolle darüber, was Benutzern beim Anfordern des Zugriffs erlaubt ist. Anforderungen werden im Azure-Aktivitätsprotokoll festgehalten, sodass Sie den Zugriff leicht überwachen können. Die Richtlinie hilft Ihnen auch, die vorhandenen VMs, für die der JIT-VM-Zugriff aktiviert ist, schnell zu identifizieren. Sie können auch die VMs sehen, für die JIT-VM-Zugriff empfohlen wird.