Wraz z rosnącą popularnością zarówno wdrożeń w chmurze, jak i pracy zdalnej, informatycy postanowili sprawdzić, czy używane wtedy poświadczenia (czyli nazwa i hasło) gwarantują ich użytkownikom bezpieczeństwo. Właśnie dlatego badacze z Rapid7 przyjrzeli się bliżej poświadczeniom używanym przez administratorów systemów IT, które zapewniają bezpieczeństwo dwóm głównym protokołom obsługującym zdalny dostęp do sieci korporacyjnej.
Raport nosi nazwę Password Research Report, a badane protokoły to Remote Desktop Protocol (RDP) i Secure Shell (SSH). To właśnie te dwa protokoły są używane najczęściej podczas procesu konfigurowania w chmurach maszyn wirtualnych. Rapid7 odkrył, że trzy najpopularniejsze nazwy użytkownika dla RDP to o zgrozo takie wyrażenia, jak „administrator”, „użytkownik” i „admin”. To zatrważające, gdyż to właśnie protokół RDP jest wykorzystywany najczęściej do przeprowadzania ataków ransomware, które są obecnie prawdziwym utrapieniem firm.
Z kolei trzy najpopularniejsze nazwy użytkownika dla protokołu SSH to „root”, „admin” i „nproc”. Aby przeprowadzić badanie, firma Rapid7 przyjrzała się poświadczeniom używanym przez hakerów, wtedy gdy przeprowadzali ataki typu brute force na skonfigurowaną przez nią sieć-pułapkę typu honeypot. Analiza używanych wtedy nazw użytkowników i haseł wskazuje na to, że większość takich ataków przeprowadzały boty.
Zobacz również:
W przypadku protokołu SSH dwie wyróżniające się nazwy użytkownika wybierane przez boty to „root” i „admin”. Dzieje się tak prawdopodobnie dlatego, że większość dystrybucji Linuksa jest dostarczana z użytkownikiem noszącym nazwę „root”, podczas gdy „admin” jest powszechną domyślną nazwą użytkownika w routerach i urządzeniach IoT. Jeśli chodzi o hasła, to Rapid7 przechwycił 497 848 wyrażeń, a zdecydowanie dwie najczęstsze próby to „123456” i „password”.
Aby chronić protokoły RDP i SSH, należy bezwzględnie używać firmowej sieci VPN i ograniczać połączenia zdalne. Jeśli jednak musimy już używać takich połączeń, powinny one działać tylko za pośrednictwem hostów uwierzytelnionych przez VPN. Ponadto, aby zapobiec większości ataków brute-force, warto zmienić porty, co znakomicie utrudnia życie hakerom. W przypadku protokołu RDP najlepszą ochroną jest ograniczenie dostępu przez zapory sieciowe i sieciowe grupy zabezpieczeń, tak aby dostęp do wystąpień z ujawnionym protokołem RDP można było uzyskać tylko z zaufanych adresów IP.
Podczas sesji SSH najważniejszym środkiem bezpieczeństwa, jaki można zastosować, jest wyłączenie uwierzytelnianie oparte nie na hasłach, a na certyfikatach. Zaleca się również ograniczenie liczby użytkowników, którzy mają włączoną obsługę SSH, co można zrobić modyfikując plik sshd_config, Dobrym pomysłem jest również całkowite wyłączenie protokołu SSH dla wszystkich kont root, a także zmiana maksymalnej dopuszczalnej dla danego systemu liczby prób logowania.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS