Одминский блог

RDP и атака изнутри

Что делать админу без удаленного доступа к серверу, или рабочей станции. Бегать по этажам, со своего места в серверную, или к клиенту- никаких ног не хватит. Выручает только удаленный доступ, но не ко всем машинам можно достучаться по ssh, у нас же в парке всегда присутствует достаточное количество Windows серверов, и тогда мы прибегаем к помощи RDP.

Microsoft’s RDP (Remote Desktop Protocol) так называемое клиент- серверное терминальное  приложение, которое используется начиная с Windows 2000 и по наши дни, большинством виндузовых админов, для администрирования серверов. RDP предоставляет удаленный рабочий стол пользователю, подключившемуся к терминальному серверу, и тем самым позволяет сэкономить массу администраторского времени.

В настоящее время технология VDI (Virtual Desktop Interface) использует RDP для доступа на VM сервера с тонких клиентов или обычных рабочих станций, что позволяет упростить администрирование и управление дата-центрами. Сам протокол RDP является защищенным и использует 128битное шифрование (RC4). Но при этом основной проблемой RDP является именно шифрование, поскольку по умолчанию используемые сертификаты подписаны RSA приватным ключом, который хранится в файле mstlsapi.dll и каждый сервер и клиент имеет его в стандартной установке. То есть получается, что по умолчанию, все клиент сервера в мире используют один и тот же ключ, для шифрования своих сессий.

Этот факт дает повод для размышления, что некий гадкий человек может воспользоваться этим для атаки изнутри системы MITM (Man-in-the-Middle), путем внедрения в диалог двух систем с подписанным корректным образом сертификатом, перехвата диалога и его дешифрации, причем все будет произведено без каких либо аллертов на стороне клиента или сервера, поскольку все будет проводиться с использованием корректных сертификатов.

В теории атака выглядит таким образом, что злоумышленник подключается на момент установления RDP сессии и расшифровав пакет получает полный доступ к удаленной системе. Ниже приводится ролик о том, как данная процедура может быть реализована.

По просмотру ролика, становится понятно, что использование любых сервисов с настройками по умолчанию допустимо только в случае использования для открытых целей, будь то виндовый сервер, или юниксовая рабочая станция. Если же предполагается использовать сервис для каких то частных или коммерческих целей, то однозначно необходимо перенастраивать систему с целью повышения её защиты. Для того чтобы получить более подробную информацию по вендорам, для начала можно погуглить с его наименованием в связке с термином “hardening guide”.

Стоит ли использовать RDP во избежании подобных атак? Естетственно стоит, поскольку сам по себе протокол удобен и хорошо сконструирован.
Есдинственно что. данный протокол необходимо более тщательно закрывать, либо инкапсулируя его в зашифрованный канал VPN, либо используя ключи отличные от стандартных. На сайте Microsoft имеется хороший документ, рассказывающий об использовании PKI (Public Key Infrastructure) и построении соединения RDP с помощью TLS (Transport Layer Security).

В системе Windows Server 2008 имеется новый функционал называющийся NLA (Network Level Authentication) который обеспечивает более сильную защиту от подмены ключей путем реализации аутентификации во время сессии. Для работы с данным сервисом требуется клиент 6 версии и выше.

Или же использовать сторонние средства удаленного администрирования, например системы удаленного доступа RAdmin или DameWare NT Utilities.

Теги: IT безопасность, nla, rdp, ssl, vpn, Windows, атака, доступ, сервер, терминал