Защита сервисов SSH, RDesktop

1. Значительно увеличилась интенсивность сетевых атак на средства удаленного доступа - сервисы ssh (порт tcp 22), remote desktop (порт tcp 3389). При обнаружении работающего сервиса злоумышленники из внешней сети запускают многочасовые процедуры подбора паролей с целью получения контроля над компьютером (устройством).

   В связи с этим настоятельная просьба:

   - используйте СЛОЖНЫЕ пароли - комбинации несловарных слов и цифр (в разных местах слова). Пароль из комбинации логина и даты рождения, года, а также всякие модные слова подбирается меньше чем за час.

   - устанавливайте в настройках сервиса или брандмауэра ограничения по IP адресам. Необходимы два правила, сначала разрешить доступ определенному списку сетей (сеть ОИЯИ 159.93.0.0/16), второе правило - запретить доступ всем.

   !!! Если Вы не знаете, как настроить брандмауэр, обратитесь к администраторам своей лаборатории или в Сетевую Службу ЛИТ (к. 216, тел. 63488, noc@jinr.ru)

2. Пример ограничения доступа к дистанционному рабочему столу в случае Windows XP

   Пуск-Настройка-Панель Управления-Брандмауэр Windows
   Исключения-Дистанционное Управление рабочим столом-Изменить
   Выбрать TCP 3389, нажать Изменить область
   Переключиться на Особый список, ввести 159.93.0.0/255.255.0.0,сеть провайдера
   

3. Пример ограничения доступа к дистанционному рабочему столу в случае Windows 10

   Найдите в меню Пуск в папке Windows Powel Shell приложение Windows Power Shell, нажмите правую кнопку мыши и запустить в режиме администратора.
   

   Выполните команду

   netsh advfirewall firewall set rule name="Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)" new remoteip=62.84.96.0/19,159.93.0.0/16 enable=yes

   где в параметре remoteip перечислите через , сети, с которых разрешаете доступ.

   ИЛИ

   Зайдите в Пуск-Параметры Windows-Сеть и Интернет-Брандмауэр Windows-Дополнительные параметры
   В левой колонке выберите Правила для входящих подключений
   В списке правил дважды кликните по правилу Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)
   В разделе Общие установите галочку включено
   В разделе Область / Удаленный IP адрес через кнопку Добавить добавляете нужные сети
   

   
4. Администраторам Linux серверов и рабочих станций

   - если не используете ssh доступ в систему, отключайте автозапуск ssh сервиса;

   - используйте пакет fail2ban. Он будет автоматически блокировать в брандмауэре IP адреса, с которых зафиксированы многочисленные неуспешные попытки подключения к системе (подбор пароля);

   - в файле настройки ssh-сервиса /etc/ssh/sshd_config запретите ssh-подключения для пользователя root
   PermitRootLogin no
   Также можно перечислить пользователей, которым ssh вход разрешен
   AllowUsers user1,user2
   

   - просматривайте периодически /var/log/auth.log, проверяйте откуда и под какими учетными записями подключались к системе.

5. Список адресов сетей некоторых городских провайдеров

   ОИЯИ	159.93.0.0/16
   Телеком МПК (ТМПК)	185.48.36.0/22,91.203.80.0/22
   ООО "Компания Контакт"	62.84.96.0/24
   Net By Net	176.194.0.0/15,176.192.0.0/15,46.73.0.0/16
   Ростелеком	95.72.8.0/21