Melindungi mesin virtual dengan akses VM JIT
Serangan masuk brute-force umumnya menargetkan port manajemen sebagai sarana untuk mendapatkan akses ke komputer virtual (VM) atau server. Jika berhasil, penyerang dapat mengontrol host dan membangun pijakan di lingkungan Anda. Serangan brute-force terdiri dari memeriksa semua kemungkinan nama pengguna atau kata sandi sampai yang benar ditemukan.
Bentuk serangan ini bukan yang paling canggih, tetapi alat seperti THC-Hydra membuatnya menjadi serangan yang relatif sederhana untuk dilakukan. Misalnya, urutan perintah berikut digunakan untuk menyerang server Windows.
user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)
Menghentikan serangan brute-force
Untuk menangkal serangan brute-force, Anda dapat melakukan beberapa tindakan seperti:
Nonaktifkan alamat IP publik dan gunakan salah satu metode koneksi ini:
- Jaringan privat virtual (VPN) titik-ke-situs.
- Buat VPN situs-ke-situs.
- Gunakan Azure ExpressRoute untuk membuat tautan aman dari jaringan lokal Anda ke Azure.
Mewajibkan autentikasi dua faktor
Menambah panjang dan meningkatkan kerumitan kata sandi
Membatasi upaya masuk
Menerapkan Captcha
Membatasi jumlah waktu port dibuka
Pendekatan terakhir ini diimplementasikan Pertahanan Microsoft untuk Cloud atas nama Anda. Port manajemen seperti Desktop Jauh dan SSH hanya perlu dibuka saat Anda terhubung ke Mesin Virtual. Misalnya, untuk melakukan tugas manajemen atau pemeliharaan. Fitur keamanan yang ditingkatkan di Microsoft Defender untuk Cloud mendukung Akses mesin virtual (VM) just-in-time (JIT). Saat akses VM JIT diaktifkan, Defender untuk Cloud menggunakan aturan kelompok keamanan jaringan (NSG) untuk membatasi akses ke port manajemen. Akses dibatasi saat port tidak digunakan, sehingga penyerang tidak dapat menargetkannya.
Membuat kebijakan yang memungkinkan akses VM JIT
Saat Anda mengaktifkan akses Mesin Virtual just-in-time untuk Mesin Virtual, Anda dapat membuat kebijakan yang menentukan:
- Port untuk membantu melindungi.
- Lamanya waktu port harus tetap terbuka.
- Alamat IP yang disetujui yang dapat mengakses port ini.
Kebijakan ini memungkinkan Anda tetap memegang kendali atas apa yang dapat dilakukan pengguna saat mereka meminta akses. Permintaan dicatat di log aktivitas Azure agar Anda dapat dengan mudah memantau dan mengaudit akses. Kebijakan ini juga membantu Anda dengan cepat mengidentifikasi Mesin Virtual yang ada yang mengaktifkan akses Mesin Virtual just-in-time. Anda juga dapat melihat Mesin Virtual tempat akses Mesin Virtual just-in-time disarankan.