Sanal makineleri JIT VM erişimiyle koruma

Tamamlandı

Deneme yanılma-bir VM veya sunucuya erişim sağlamak için genellikle hedef yönetim bağlantı noktaları olarak, oturum açma saldırılarına izin vermeye olanak sağlar. Başarılı olursa, saldırgan ana bilgisayarın denetimini ele geçirebilir ve ortamınızda bir tutunma noktası oluşturabilir. Deneme yanılma saldırısı, doğru olanı bulana kadar tüm olası kullanıcı adı veya parolaların kontrol edilmesini içerir.

Bu en karmaşık saldırı biçimi değildir, ancak THC-Hydra gibi araçlar sayesinde bir Windows sunucusuna saldırmak için kullanılan aşağıdaki komut dizisinde gösterildiği gibi gerçekleştirilmesi oldukça basit bir saldırı haline gelir.

user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321" 
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator  password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)

Deneme yanılma saldırılarını durdur

Deneme yanılma saldırılarına karşı koymak için aşağıdaki gibi birkaç önlem alabilirsiniz:

  • Genel IP adresini devre dışı bırakın ve bu bağlantı yöntemlerinden birini kullanın:

    • Noktadan siteye sanal özel ağ (VPN) kullanma
    • Siteden siteye VPN oluşturma
    • Şirket içi ağınızdan Azure’a güvenli bağlantılar oluşturmak için Azure ExpressRoute kullanma
  • İki öğeli kimlik doğrulama isteme

  • Parola uzunluğunu ve karmaşıklığını artırma

  • Oturum açma girişimlerini sınırlama

  • Captcha uygulama

  • Bağlantı noktalarının açık olduğu süreyi sınırlayın

Bu son yaklaşım, Azure Güvenlik Merkezi'nin sizin adınıza uyguladığı şeydir. Uzak Masaüstü ve SSH gibi yönetim bağlantı noktalarının yalnızca VM 'ye bağlıyken açık olması gerekir (örneğin, yönetim veya bakım görevlerini gerçekleştirmek için). Standart katmanında, Azure Güvenlik Merkezi Anlık (JIT) sanal makine (VM) erişimini destekler. JıT erişimi etkinleştirildiğinde, Güvenlik Merkezi, ağ güvenlik grubu (NSG) kurallarını, kullanıldıklarında, saldırganlar tarafından hedeflenmeyen yönetim bağlantı noktalarına erişimi kısıtlamak için kullanır.

JIT VM Erişimini Etkinleştirme

Sanal makineleriniz için JIT VM Erişimini etkinleştirdiğinizde, korumaya yardımcı olunacak bağlantı noktalarını, bağlantı noktalarının ne kadar süreyle açık kalacağını ve bu bağlantı noktalarına erişebilecek onaylanmış IP adreslerini belirleyen bir ilke oluşturabilirsiniz. İlke, kullanıcıların erişim istediklerinde neler yapabileceğini denetlemenize olanak sağlar. İstekleri Azure etkinlik günlüğünde günlüğe kaydedilir, böylelikle erişimi kolayca izleyebilir ve denetleyebilirsiniz. İlke ayrıca JIT VM Erişiminin etkin olduğu mevcut VM'leri ve JIT VM Erişiminin önerildiği VM'leri hızlı bir şekilde belirlemenize yardımcı olur.