معرفی
ظهور فن آوری های کار از راه دور، برون سپاری و تکنولوژی Cloud مرزهای جغرافیایی را محو میکند. برای حفظ شبکه هایی که از این تکنولوژی ها پشتیبانی میکنند، بسیاری از شرکت های کوچک و متوسط به سمت تیم های فنی خارج از سایت خود با استفاده از پروتکل دسکتاپ از راه دور (RDP) برای تشخیص و ترمیم مشکلات شبکه ی خود متکی هستند. RDP امکان برقراری ارتباط بین سرور ترمینال و یک سرویس دهنده سرور ترمینال را فراهم میسازد و معمولا توسط ادمین شبکه برای دسترسی از راه دور به دسک تاپها و برنامه های مجازی استفاده میشود.
همانطور که استفاده از RDP مزایای خوبی دارد معایب و خطرات خاصی برای ما به همراه دارد، به این دلیل که دسک تاپ های کنترل نشده از راه دور به سرعت تبدیل به نقطه مطلوب و دلخواهی برای ورود هکرها میشود.
در این آموزش ما قصد داریم به شما نشان دهیم که حملات RDP چگونه کار میکنند و شما چگونه میتوانید از شبکه خود در برا بر این حملات سایبری محافظت کنید.
در این پست با حملات Brute Force آشنا شدید و نحوه ی کار آن را میدانید.
در حمله ی سایبری RDP، هکرها از اسکنرهای شبکه مانند Masscan استفاده میکنند تا IP و محدوده پورت TCP را که توسط سرورهای RDP استفاده میشوند، شناسایی کنند. هکرها پس از شناسایی با استفاده از ابزارهای Brute Force که از طریق سیستم آزمون و خطا کار میکنند سعی در ورود به سیستم شما را دارند. در این مدت، عملکرد سرور به دلیل زیر حمله بودن ممکن است دچار اختلال شود و از منابع شما استفاده شود. پس از ساعت ها، روزها و یا حتی هفته ها هکرها ممکن است در نهایت نام کاربری و رمز عبور شما را حدس بزنند و به منابع شما دسترسی پیدا کنند که به محض ورود پتانسیل آسیب زدن به سیستم شما را دارا هستند.
شاید این سوال در ذهن شما پیش بیاید که چرا هکرها میخواهند حملات RDP را انجام دهند؟ به این دلیل که با توجه به نفوذ به سیستم شما آنها میتوانند کارهایی از جمله غیرفعال کردن نرم افزار آنتی ویروس، نصب بدافزارها، سرقت دادههای شما، رمز گذاری فایل های و … را انجام دهند که با توجه به این خطرات پیش آمده میتواند تاثیر منفی زیادی بر اعتبار، امور مالی و عملکرد روزانه یک شرکت داشته باشد.
راه حل
حال که با نحوه کار کردن این حمله سایبری آشنا شدید میخواهیم به شما بگوییم که چگونه با اینگونه حملات مقابله کنید و شبکه ی خود را از آن دور نگه دارید. این امر از چند طریق قابل دستیابی است:
- استفاده از نام کاربری و رمز قوی
ساده ترین و کارآمدترین کاری که شما میتوانید انجام دهید، تغییر جزئیات ورود به سیستم است. تغییر نام کاربری پیش فرض که “Administrator” میباشد کار هکرها را دو برابر میکند چرا که حالا باید به جز حدس زدن رمز عبور شما باید نام کاربری شما را هم حدس بزنند.
علاوه بر این موضوع شما باید به یاد داشته باشید که باید از رمز عبور پیچیده استفاده کنید که شامل تعداد مناسب کارکتر، منحصر به فرد بودن، حروف بزرگ و کوچک، نمادها و اعداد میشود.
- تنظیم محدودیت دسترسی از راه دور
برای کاهش خطر حمله، بر تعداد افرادی که میتوانند به صورت از راه دور به سیستم شما وارد شوند را محدود کنید. در حالی که هر کسی به سطح“Administrator” دسترسی داشته باشد میتواند به صورت پیش فرض وارد Remote Desktop شود.
- پالیسی Account Lockout
همانطور که اشاره شد در این حمله نیاز به تعداد زیادی تلاش برای ورود به سیستم شما دارد پس با تنظیم این پالیسی شما میتوانید کاربر را برای مدت مشخصی بعد از تعداد معینی تلاش محدود کنیو و آن را قفل کنید.
در اینجا نحوه تنظیم این پالیسی را برای شما به اشتراک میگذاریم:
- Start Menu را باز کنید و عبارت Administrative Tools را تایپ کنید و بر روی آن کلیک کنید.
- در پنجره ی باز شده بر روی Local Security Policy کلیک کنید.
- در سمت چپ پنجره ی باز شده در ابتدا بر روی Account Policies و سپس بر روی Account Lockout Policy کلیک کنید.
- بر روی هر کدام از پالیسی های مورد نیاز خود دو بار کلیک کرده و مقدار جدید وارد کنید و سپس با زدن گزینه OK تنظیمات را به پایان برسانید.
- تغییر پورت RDP
هنگام اسکن اینترنت، هکرها غالباً به دنبال اتصالهایی هستند که از درگاه پیش فرض RDP استفاده می کنند. در تئوری این بدان معناست که شما می توانید با تغییر درگاه گوش دادن به چیز دیگری ، اتصال RDP خود را مخفی کنید.
برای این کار ، از ویرایشگر رجیستری ویندوز استفاده کنید:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
ویرایش رجیستری می تواند منجر به مشکلات جدی شود. همیشه قبل از ایجاد ویرایش از نسخه پشتیبان تهیه کنید و اگر به هیچ وجه مطمئن نیستید سعی نکنید ویرایش کنید.
پیروز باشید.
گیک گپ ، اجتماعی برای گیک ها
کارشناسی مهندسی نرم افزار، علاقه مند به دنیای شبکه 🙂
عالی بود