СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Angara Security
2 декабря
#Статьи #ИБ#Инфра

Инвентаризация удалённого доступа: RDP, SSH, VPN-порталы и их «санитарная очистка»

Инвентаризация удалённого доступа: RDP, SSH, VPN-порталы и их санитарная очистка

Изображение: recraft

Введение

Удаленные или гибридные форматы работы стали стандартом для многих компаний. Они позволяют легко подстраиваться под изменения бизнеса, дают свободу в подборе команды, которая не зависит от места жительства сотрудников, и позволяют экономить средства на аренде офисов.

Для устойчивого функционирования компании, которая работает в таком режиме, важно грамотно выстроить систему доступа. Можно выделить пять популярных способов удалённого подключения:

  • Удаленный рабочий стол (RDP) и подключение по SSH;
  • VPN;
  • Специальные программы (AnyDesk, TeamViewer);
  • Облачные решения и веб‑доступ;
  • Комбинация перечисленных выше способов.
  • Удалённый доступ стал критически важным сервисом для большинства организаций, его бесперебойная работа напрямую влияет на непрерывность бизнес‑процессов. Поэтому проектирование соответствующей инфраструктуры требует комплексного подхода. При создании системы удалённого доступа необходимо решать ключевые задачи:
  • обеспечить отказоустойчивость;
  • обеспечить безопасность сервиса, т.к. любой тип удаленного доступа увеличивает поверхность атаки на компанию;
  • организовывать регулярное резервное копирование данных для восстановления сервиса в случае масштабных сбоев;
  • внедрять систему мониторинга сервиса.

Мониторинг удалённого доступа

Рассмотрим основные методы мониторинга различных технологий удалённого подключения, уделив особое внимание вопросам контроля со стороны IT‑администраторов и специалистов по информационной безопасности.

Мониторинг удалённого доступа выполняет несколько функций:

  1. Контроль состояния сервиса: оперативная проверка работоспособности системы, выявление сбоев и задержек в реагировании.
  2. Анализ нагрузки на ресурсы: отслеживание использования вычислительных мощностей, пропускной способности сети, нагрузки на центральный процессор и оперативную память, что позволяет своевременно выявлять перегрузку и предотвращать отказы.
  3. Диагностика узких мест: обнаружение слабостей в механизмах отказоустойчивости и системах балансировки нагрузки. «Узкие места» могут стать точками отказа при пиковых нагрузках.
  4. Аудит подключений: фиксация фактов подключения пользователей с указанием времени, длительности сеанса и использованных ресурсов. Эта информация критически важна для контроля доступа, расследования инцидентов и анализа паттернов использования системы.

Таким образом, мониторинг удалённого доступа представляет собой многоуровневый процесс, обеспечивающий стабильность, безопасность и эффективность работы сервиса.

RDP

RDP-подключение — удобный способ удаленного доступа к «своему» компьютеру в офисе: физически установленному АРМ, виртуальной машине, терминальному серверу или VDI-инфраструктуре. Общим для подключений является шлюз удаленных рабочих столов. В серверной инфраструктуре Microsoft шлюз разворачивается в отказоустойчивом режиме и включает один или более серверов. Серверы шлюзов опираются на стандартный NPS (Network Policy Server), который может быть развёрнут на том же шлюзе или отдельно в отказоустойчивом кластере. Сам NPS-сервер является RADIUS-сервером в инфраструктуре Microsoft и может использоваться для сервисов, использующих RADIUS-протокол.

Для управления и мониторинга подключениями можно использовать следующие методы:

  1. Специальная консоль управления RD Gateway Manager, в разделе Monitoring которой отображаются активные подключения с информацией о пользователях, времени подключения и длительности сессий. Это позволяет оперативно отслеживать текущую нагрузку и активность пользователей, однако в масштабах организации и при использовании нескольких шлюзов такой мониторинг является малоэффективным и функционально ограниченным;
  2. Журналы событий шлюза удаленных рабочих столов, которые находятся в разделе Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-Gateway -> Operational. В них фиксируются события подключения. Анализ логов даёт информацию о времени подключения, имени пользователя и IP-адресе клиента.
  3. Журналы событий NPS, которые по умолчанию сохраняются в отдельный файл в папке C:WindowsSystem32LogFiles. По опыту работы, эти журналы являются малоинформативными и требуют временных и человеческих ресурсов для изучения дополнительной информации.
  4. PowerShell-скрипты и автоматизация позволяют собрать и обработать логи подключения для создания отчётов и аудита. Этот инструмент также позволяет подключаться непосредственно к сервису через интерфейс WMI, выполняя любые действия по мониторингу и управлению подключениями;

Работа с журналами и использование PowerShell как мощного инструмента автоматизации, позволяет добиться решения практически любых задач по наблюдению за ресурсами, подключениями и принятию решений при возникновении различного вида инцидентов:

Индикатор событияОписаниеПоследствия для безопасности
Множество неудачных попыток входаМногократные неудачные входы в RDP с одного или нескольких исходных IP-адресов за короткий период времени.Признак атаки методом подбора паролей.
Подключения из необычных географических мест/IP-адресовГеолокация пользователя или диапазонов IP-адресов относится к региону, где у организации нет деловых отношений.Потенциальный внешний злоумышленник, использующий общедоступные VPN-сервисы или скомпрометированные серверы.
Входы в нерабочее времяУспешные подключения, происходящие вне рамок рабочего дня (ночью, рано утром, в выходные дни).Указывает на потенциальное несанкционированное использование легитимных учетных данных.
Подключения с использованием неактивных учетных записейЛюбая успешная попытка входа с использованием учетной записи, которая отключена или была неактивна длительное время.Свидетельствует о том, что для доступа используется скомпрометированная учетная запись.
Необычные целевые ресурсыПользователь подключается через шлюз, но обращается к серверу или ресурсу, к которому он не имеет доступа в рамках должностных обязанностей.Предполагает горизонтальное перемещение злоумышленника внутри сети.
Большой объем передачи данныхВнезапная большая загрузка данных (upload/download) через сеанс RDP.Может указывать на развертывание вредоносного ПО или утечку данных.
Долгие периоды работы без переподключенийДлительные сеансы работы пользователя без перехода в режим ожидания.Отсутствие настройки на максимальную длительность удаленной сессии в совокупности с другими индикаторами компрометации может указывать на присутствие злоумышленника в инфраструктуре.
Одновременное подключение одного и того же пользователя с разных устройствПрисутствие в журнале подключений двух и более сессий с разных адресов.Потенциально может означать компрометацию учетной записи пользователя.

Основная часть из указанных потенциальных инцидентов может определяться на уровне SIEM-систем, а управляющие воздействия могут осуществляться через SOAR, обеспечивая безопасность удаленных подключений и возможность найти и обезвредить злоумышленника на ранних стадиях пребывания в системе. Для конфигурации и эксплуатации таких инструментов необходима отдельная команда.

Powershell

Небольшим компаниям, которые хотят обеспечить мониторинг в системе удаленного доступа, но ограничены в возможностях, подойдут скрипты PowerShell. Они позволяют мониторить ситуацию на шлюзах удаленного доступа и принимать решения об отключении нелегитимных пользователей путем блокировки их учетных записей. Например, для вывода текущего списка подключений на шлюзе удаленных рабочих столов gatewayserver можно воспользоваться командой Get-WmiObject -class «Win32_TSGatewayConnection» -namespace «rootcimv2TerminalServices» -ComputerName gatewayserver | Select UserName, ClientAddress, ConnectedResource, ConnectedTime, IdleTime, NumberOfKilobytesReceived, NumberOfKilobytesSent

В зависимости от индикатора инцидента можно использовать дополнительные проверки:

  1. Сравнение ClientAddress с открытыми базами геоданных и принятие решения о действиях с таким подключением и пользователем;
  2. Указание часов активности для определенных пользователей на уровне Active Directory;
  3. Определение параметров пользователя UserName, подключенного через шлюз удаленных рабочих столов и принятие решения о его отключении по различным мотивам;
  4. Создание администратором системы групп пользователей и разрешенных для них ресурсов. Ограничение может быть выполнено на уровне шлюза путем создания специальных политик Resource Access Policies. Также проверки можно реализовать выполнением скриптов в PowerShell, сравнивая пользователя и ранее определенный для него разрешенный ресурс.
  5. Параметры NumberOfKilobytesReceived, NumberOfKilobytesSent для офисных задач за стандартный рабочий день не должны превышать 3 Гб. Резкое увеличение или выход за пределы 3 Гб может свидетельствовать о нелегитимных действиях пользователя;
  6. Параметры ConnectedTime, IdleTime определяют общее время подключения и время простоя. Параметр ConnectedTime можно задать на уровне NPS-сервера, время простоя устанавливается на уровне шлюза подключений.
  7. Проверка на одновременное подключение из разных источников выполняется PowerShell-командой и фильтрацией по имени пользователя. При этом важно учитывать и оперативно блокировать активные подключения одного пользователя с разных ClientAddress. Для отключения можно использовать PowerShell, например:

$connections = Get-WmiObject -class «Win32_TSGatewayConnection» -namespace «rootcimv2TerminalServices» -ComputerName gatewayserver | Select UserName, ClientAddress, ConnectedResource, ConnectedTime, IdleTime, NumberOfKilobytesReceived, NumberOfKilobytesSent

$connToDisconnect = $connections | Where-Object { $_.UserName -eq “someuser”-or $_.ConnectionId -eq “someuser” }

$connToDisconnect.Disconnect()

SSH-подключения

При использовании шлюзов удаленных рабочих столов важно помнить о дополнительных мерах безопасности:

  1. Если шлюз расположен на периметре, обязательно размещение в DMZ и использование разных доменов для аутентификации на шлюзе и на целевом рабочем месте
  2. Использование системы обнаружения и предотвращения вторжений;
  3. Использование системы AntiDDOS;
  4. Второй фактор для аутентификации пользователей;
  5. Средства защиты на серверах – DLP, EDR, централизованные агенты для сбора логов.

Важно следить за ресурсами шлюзов — количеством подключений и утилизацией физических ресурсов сервера. Мониторинг осуществляют с помощью Zabbix-сервера совместно с установленным агентом. Агент может передавать текущую загрузку по процессору, оперативной памяти и жесткому диску, данные о количестве текущих подключений.

Индикаторы инцидентов сервиса удаленного доступа важно детектировать для всех критичных серверов, на которых разрешен доступ по протоколу RDP. Методы противодействия данным инцидентам описаны выше и применяются на уровне каждого конкретного сервера.

SSH — сетевой протокол прикладного уровня, который обеспечивает безопасное удаленное управление ОС. Он позволяет администраторам и пользователям подключаться к серверам и рабочим станциям через командную строку. Для усиления безопасности SSH применяют следующие методики:

  • Использование SSH-ключей является более безопасным способом аутентификации, чем пароль.
  • Отключение возможности входа по паролю.
  • Отключение входа для пользователя root.
  • Ограничение доступа списком разрешенных IP адресов.

Протоколы SSH стараются не публиковать наружу, так как количество потенциальных преимуществ нивелируется попытками эксплуатации уязвимостей и подбором паролей.

Угрозы для SSH подключений аналогичны RDP и RDP шлюзам. Здесь важным является отправка событий по подключениям в SIEM и SOAR-системы и создание оповещений и триггеров по настроенным инцидентам. Информация по подключениям содержится в журналах /var/log/auth.log (Debian/Ubuntu/Astra) или /var/log/secure (для RHEL/CentOS/Rocky Linux)

Автоматизация без внедрения SIEM и SOAR может быть достигнута с помощью Python-скриптов или реализации анализа логов с использованием Zabbix-агента.

RA VPN

VPN – технология, которая обеспечивает безопасное и зашифрованное соединение между клиентским устройством и инфраструктурой компании (Remote Access, RA VPN), а также между различными площадками компании (Site to Site VPN).

Рассмотрим RA VPN, который в базовом варианте представляет собой физический или виртуальный сервер на основе решения конкретного вендора.

Коммерческие RA VPN решения отвечают запросам заказчиков, обеспечивают необходимый уровень технической поддержки, требования по производительности и сертификации. Для таких решений важно следить за идентификаторами инцидентов, описанными ранее для RDP. Логирование событий в SIEM от таких решений может предотвратить и своевременно заблокировать множественные попытки неудачного входа. Для остальных индикаторов ограничения обычно реализуются в самом решении для RA VPN:

  1. Необычные целевые ресурсы можно заблокировать списком контроля доступа, а неудачные попытки или попытки сканирований отправлять в SIEM для корреляции событий.
  2. Длительные периоды работы как правило, ограничиваются продолжительностью сессий в самом решении.
  3. Одновременное подключение одного пользователя нивелируется запретом множественных подключений.
  4. Подключения из необычных географических мест/IP-адресов можно ограничить правилами настройки межсетевого экрана.
  5. Входы в нерабочее время могут быть заблокированы расписанием правил файрволла.
  6. Большой объем передачи данных можно фиксировать различными flow анализаторами и настраивать соответствующие триггеры.

Контроль физических метрик – процессор, память и количество подключений на сервер – является важным для RA VPN. Для трекинга этих параметров используется протокол SNMP. На сервер мониторинга настраиваются необходимые метрики, получаемые из SNMP объектов, а при достижении важных или критичных величин настраивают триггеры в виде оповещений.

Итоги

Сопоставление событий из систем удалённого доступа позволяет вовремя заметить подозрительную активность и предотвратить угрозы:

  • выявить попытки несанкционированного доступа;
  • обнаружить подозрительные подключения в нестандартное время;
  • отследить необычные действия пользователя.

При автоматизации процессов система сможет мгновенно блокировать подозрительные подключения, создавать оповещения и минимизировать риски для бизнеса, уберечь от репутационных потерь. Мониторинг и учёт подключений помогают:

  • грамотно распределять ИТ‑ресурсы;
  • предугадывать проблемы;
  • оперативно устранять неполадки системы.

Таким образом, контроль удалённого доступа — мощный инструмент, который защищает бизнес от угроз, оптимизирует работу ИТ‑инфраструктуры и помогает работать на опережение, а не на устранение последствий.

Автор: Дмитрий Кушнерёв, ведущий эксперт отдела сетевых технологий Angara Security.

Angara Security
Автор: Angara Security
Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.
Комментарии: