Virtuele machines beveiligen met JIT VM-toegang

  • 6 minuten

Brute-force-aanmeldingsaanvallen richten zich meestal op beheerpoorten als een manier om toegang te krijgen tot een virtuele machine (VM) of server. Als dit lukt, kan een aanvaller de controle over de host overnemen en een voet aan de grond leggen in uw omgeving. Bij een beveiligingsaanval worden alle mogelijke gebruikersnamen of wachtwoorden gecontroleerd totdat de juiste is gevonden.

Deze vorm van aanval is niet de meest geavanceerde, maar tools zoals THC-Hydra maken het een relatief eenvoudige aanval om uit te voeren. De volgende opdrachtreeks wordt bijvoorbeeld gebruikt om een Windows-server aan te vallen.

user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f

Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321" 
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator  password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)

Beveiligingsaanvallen stoppen

Om beveiligingsaanvallen tegen te gaan, kunt u meerdere maatregelen nemen, zoals:

  • Schakel het openbare IP-adres uit en gebruik een van de volgende verbindingsmethoden:

    • Een punt-naar-site virtueel particulier netwerk (VPN).
    • Een site-naar-site-VPN maken.
    • Gebruik Azure ExpressRoute om beveiligde koppelingen te maken vanuit uw on-premises netwerk naar Azure.

  • Tweeledige verificatie vereisen

  • De lengte en complexiteit van wachtwoorden vergroten

  • Aanmeldingspogingen beperken

  • Captcha implementeren

  • Beperk de tijdsduur dat de poorten zijn geopend

Deze uiteindelijke aanpak is wat Microsoft Defender voor Cloud namens u implementeert. Beheerpoorten zoals Extern bureaublad en SSH hoeven alleen geopend te zijn terwijl u verbinding hebt met de virtuele machine. Bijvoorbeeld om beheer- of onderhoudstaken uit te voeren. De verbeterde beveiligingsfuncties in Microsoft Defender voor Cloud ondersteuning voor Just-In-Time-toegang (JIT) voor virtuele machines (VM). Wanneer JIT VM-toegang is ingeschakeld, gebruikt Defender voor Cloud NSG-regels (netwerkbeveiligingsgroep) om de toegang tot beheerpoorten te beperken. De toegang wordt beperkt wanneer de poorten niet in gebruik zijn, zodat aanvallers zich niet op deze poorten kunnen richten.

Een beleid maken waarmee JIT-VM-toegang mogelijk is

Wanneer u JIT VM-toegang voor uw VM's inschakelt, kunt u een beleid maken dat bepaalt:

  • De poorten die moeten worden beveiligd.
  • De tijdsduur dat de poorten open moeten blijven.
  • De goedgekeurde IP-adressen die toegang hebben tot deze poorten.

Met het beleid kunt u bepalen wat gebruikers kunnen doen wanneer ze toegang aanvragen. Aanvragen worden vastgelegd in het Azure-activiteitenlogboek, zodat u eenvoudig de toegang kunt bewaken en controleren. Het beleid helpt u ook snel de bestaande VM's te identificeren waarvoor JIT-VM-toegang is ingeschakeld. U kunt ook de VM's zien waar JIT-VM-toegang wordt aanbevolen.