RDP и атака изнутри
08 Dec 2009 | Автор: dd |Что делать админу без удаленного доступа к серверу, или рабочей станции. Бегать по этажам, со своего места в серверную, или к клиенту- никаких ног не хватит. Выручает только удаленный доступ, но не ко всем машинам можно достучаться по ssh, у нас же в парке всегда присутствует достаточное количество Windows серверов, и тогда мы прибегаем к помощи RDP.
Microsoft’s RDP (Remote Desktop Protocol) так называемое клиент- серверное терминальное приложение, которое используется начиная с Windows 2000 и по наши дни, большинством виндузовых админов, для администрирования серверов. RDP предоставляет удаленный рабочий стол пользователю, подключившемуся к терминальному серверу, и тем самым позволяет сэкономить массу администраторского времени.
В настоящее время технология VDI (Virtual Desktop Interface) использует RDP для доступа на VM сервера с тонких клиентов или обычных рабочих станций, что позволяет упростить администрирование и управление дата-центрами. Сам протокол RDP является защищенным и использует 128битное шифрование (RC4). Но при этом основной проблемой RDP является именно шифрование, поскольку по умолчанию используемые сертификаты подписаны RSA приватным ключом, который хранится в файле mstlsapi.dll и каждый сервер и клиент имеет его в стандартной установке. То есть получается, что по умолчанию, все клиент сервера в мире используют один и тот же ключ, для шифрования своих сессий.
Этот факт дает повод для размышления, что некий гадкий человек может воспользоваться этим для атаки изнутри системы MITM (Man-in-the-Middle), путем внедрения в диалог двух систем с подписанным корректным образом сертификатом, перехвата диалога и его дешифрации, причем все будет произведено без каких либо аллертов на стороне клиента или сервера, поскольку все будет проводиться с использованием корректных сертификатов.
В теории атака выглядит таким образом, что злоумышленник подключается на момент установления RDP сессии и расшифровав пакет получает полный доступ к удаленной системе. Ниже приводится ролик о том, как данная процедура может быть реализована.
По просмотру ролика, становится понятно, что использование любых сервисов с настройками по умолчанию допустимо только в случае использования для открытых целей, будь то виндовый сервер, или юниксовая рабочая станция. Если же предполагается использовать сервис для каких то частных или коммерческих целей, то однозначно необходимо перенастраивать систему с целью повышения её защиты. Для того чтобы получить более подробную информацию по вендорам, для начала можно погуглить с его наименованием в связке с термином “hardening guide”.
Стоит ли использовать RDP во избежании подобных атак? Естетственно стоит, поскольку сам по себе протокол удобен и хорошо сконструирован.
Есдинственно что. данный протокол необходимо более тщательно закрывать, либо инкапсулируя его в зашифрованный канал VPN, либо используя ключи отличные от стандартных. На сайте Microsoft имеется
В системе Windows Server 2008 имеется новый функционал называющийся
Или же использовать сторонние средства удаленного администрирования, например системы удаленного доступа RAdmin или DameWare NT Utilities.
Теги: IT безопасность, nla, rdp, ssl, vpn, Windows, атака, доступ, сервер, терминал
