Защита сервисов SSH, RDesktop

  1. Значительно увеличилась интенсивность сетевых атак на средства удаленного доступа - сервисы ssh (порт tcp 22), remote desktop (порт tcp 3389). При обнаружении работающего сервиса злоумышленники из внешней сети запускают многочасовые процедуры подбора паролей с целью получения контроля над компьютером (устройством).

    В связи с этим настоятельная просьба:

    - используйте СЛОЖНЫЕ пароли - комбинации несловарных слов и цифр (в разных местах слова). Пароль из комбинации логина и даты рождения, года, а также всякие модные слова подбирается меньше чем за час.

    - устанавливайте в настройках сервиса или брандмауэра ограничения по IP адресам. Необходимы два правила, сначала разрешить доступ определенному списку сетей (сеть ОИЯИ 159.93.0.0/16), второе правило - запретить доступ всем.

    !!! Если Вы не знаете, как настроить брандмауэр, обратитесь к администраторам своей лаборатории или в Сетевую Службу ЛИТ (к. 216, тел. 63488, noc@jinr.ru)

  2. Пример ограничения доступа к дистанционному рабочему столу в случае Windows XP

    Пуск-Настройка-Панель Управления-Брандмауэр Windows
    Исключения-Дистанционное Управление рабочим столом-Изменить
    Выбрать TCP 3389, нажать Изменить область
    Переключиться на Особый список, ввести 159.93.0.0/255.255.0.0,сеть провайдера

  3. Пример ограничения доступа к дистанционному рабочему столу в случае Windows 10

    Найдите в меню Пуск в папке Windows Powel Shell приложение Windows Power Shell, нажмите правую кнопку мыши и запустить в режиме администратора.

    Windows Power Shell
    Выполните команду

    netsh advfirewall firewall set rule name="Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)" new remoteip=62.84.96.0/19,159.93.0.0/16 enable=yes

    где в параметре remoteip перечислите через , сети, с которых разрешаете доступ.

    ИЛИ

    Зайдите в Пуск-Параметры Windows-Сеть и Интернет-Брандмауэр Windows-Дополнительные параметры
    В левой колонке выберите Правила для входящих подключений
    В списке правил дважды кликните по правилу Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)
    В разделе Общие установите галочку включено
    В разделе Область / Удаленный IP адрес через кнопку Добавить добавляете нужные сети

  4. Администраторам Linux серверов и рабочих станций

    - если не используете ssh доступ в систему, отключайте автозапуск ssh сервиса;

    - используйте пакет fail2ban. Он будет автоматически блокировать в брандмауэре IP адреса, с которых зафиксированы многочисленные неуспешные попытки подключения к системе (подбор пароля);

    - в файле настройки ssh-сервиса /etc/ssh/sshd_config запретите ssh-подключения для пользователя root
    PermitRootLogin no
    Также можно перечислить пользователей, которым ssh вход разрешен
    AllowUsers user1,user2

    - просматривайте периодически /var/log/auth.log, проверяйте откуда и под какими учетными записями подключались к системе.

  5. Список адресов сетей некоторых городских провайдеров

    ОИЯИ159.93.0.0/16
    Телеком МПК (ТМПК)185.48.36.0/22,91.203.80.0/22
    ООО "Компания Контакт"62.84.96.0/24
    Net By Net176.194.0.0/15,176.192.0.0/15,46.73.0.0/16
    Ростелеком95.72.8.0/21