A virtuális gépek védelme igény szerinti virtuálisgép-eléréssel
A találgatásos bejelentkezéses támadások általában a felügyeleti portokat célzik meg, hogy hozzáférjenek egy virtuális géphez (virtuális géphez) vagy kiszolgálóhoz. Ha sikeres, a támadó átveheti az irányítást a gazdagép felett, és láblécet hozhat létre a környezetben. A találgatásos támadásnál a támadó az összes lehetséges felhasználónevet vagy jelszót ellenőrzi, amíg meg nem találja a megfelelőt.
Ez a támadási forma nem a legkifinomultabb, de az olyan eszközök, mint a THC-Hydra, viszonylag egyszerű támadást hajtanak végre. A következő parancsütemezés például egy Windows-kiszolgáló megtámadására szolgál.
user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)
Találgatásos támadások leállítása
A találgatásos támadások ellen több intézkedést is alkalmazhat, például:
Tiltsa le a nyilvános IP-címet, és használja az alábbi kapcsolati módszerek egyikét:
- Pont–hely virtuális magánhálózat (VPN).
- Hozzon létre egy helyek közötti VPN-t.
- Az Azure ExpressRoute használatával biztonságos kapcsolatokat hozhat létre a helyszíni hálózatról az Azure-ba.
Kötelezővé teheti a kétfaktoros hitelesítés használatát
Fokozhatja a jelszavak hosszát és összetettségét
Korlátozhatja a bejelentkezési kísérletek számát
Képen megjelenített karaktereket (captcha) alkalmazhat
A portok nyitvatartási idejének korlátozása
Ezt a végső megközelítést valósítja meg Felhőhöz készült Microsoft Defender az Ön nevében. Az olyan felügyeleti portoknak, mint a Távoli asztal és az SSH, csak akkor kell nyitva lenniük, amikor csatlakozik a virtuális géphez. Például felügyeleti vagy karbantartási feladatok elvégzéséhez. Az Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkciói támogatják a just-in-time (JIT) virtuális gépek (VM) hozzáférését. Ha a JIT virtuális gépek hozzáférése engedélyezve van, Felhőhöz készült Defender hálózati biztonsági csoport (NSG) szabályok használatával korlátozza a felügyeleti portokhoz való hozzáférést. A hozzáférés korlátozott, ha a portok nincsenek használatban, így a támadók nem tudják célba venni őket.
JiT virtuálisgép-hozzáférést engedélyező szabályzat létrehozása
Ha engedélyezi a JIT virtuális gépek hozzáférését a virtuális gépekhez, létrehozhat egy szabályzatot, amely meghatározza a következőt:
- A védelmet segítő portok.
- A portok nyitva maradásának időtartama.
- A portokhoz hozzáférő jóváhagyott IP-címek.
A szabályzat lehetővé teszi, hogy a hozzáférési kérelem küldése után is Ön szabhassa meg, hogy mit tehetnek a felhasználók. A kérések az Azure-tevékenységnaplóban vannak naplózva, így egyszerűen figyelheti és naplózhatja a hozzáférést. A szabályzat emellett segít gyorsan azonosítani azokat a meglévő virtuális gépeket, amelyeken engedélyezve van a JIT virtuális géphez való hozzáférés. Megtekintheti azokat a virtuális gépeket is, ahol a JIT virtuális gépekhez való hozzáférés ajánlott.