Ochrona maszyn wirtualnych przy użyciu dostępu typu „just in time”
Ataki polegające na atakach polegających na atakach związanych z zarządzaniem jako sposobem uzyskania dostępu do maszyny wirtualnej lub serwera. W przypadku powodzenia osoba atakująca może przejąć kontrolę nad hostem i ustanowić przyczółek w danym środowisku. Atak siłowy polega na sprawdzaniu wszystkich możliwych nazw użytkowników lub haseł do momentu znalezienia działających poświadczeń.
Ta forma ataku nie jest najbardziej wyrafinowana, ale narzędzia, takie jak DHCP-Hydra, sprawiają, że jest to stosunkowo prosty atak do wykonania. Na przykład następująca sekwencja poleceń jest używana do ataku na serwer z systemem Windows.
user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)
Zatrzymywanie ataków siłowych
Aby przeciwdziałać atakom siłowym, można podjąć szereg działań, takich jak:
Wyłącz publiczny adres IP i użyj jednej z następujących metod połączenia:
- Wirtualna sieć prywatna (VPN) typu punkt-lokacja.
- Utwórz sieć VPN typu lokacja-lokacja.
- Użyj usługi Azure ExpressRoute, aby utworzyć bezpieczne łącza z sieci lokalnej do platformy Azure.
Wymaganie uwierzytelniania dwuskładnikowego
Zwiększenie długości i złożoności hasła
Ograniczenie prób zalogowania
Zaimplementowanie weryfikacji Captcha
Ogranicz czas otwierania portów
To ostateczne podejście jest tym, co Microsoft Defender dla Chmury implementuje w Twoim imieniu. Porty zarządzania, takie jak pulpit zdalny i protokół SSH, muszą być otwarte tylko podczas nawiązywania połączenia z maszyną wirtualną. Na przykład do wykonywania zadań związanych z zarządzaniem lub konserwacją. Ulepszone funkcje zabezpieczeń w systemie Microsoft Defender dla Chmury obsługują dostęp just in time (JIT) do maszyny wirtualnej. Po włączeniu dostępu do maszyny wirtualnej JIT Defender dla Chmury używa reguł sieciowej grupy zabezpieczeń w celu ograniczenia dostępu do portów zarządzania. Dostęp jest ograniczony, gdy porty nie są używane, dzięki czemu osoby atakujące nie mogą ich kierować.
Tworzenie zasad, które umożliwiają dostęp do maszyny wirtualnej JIT
Po włączeniu dostępu do maszyn wirtualnych JIT można utworzyć zasady określające:
- Porty ułatwiające ochronę.
- Czas otwierania portów.
- Zatwierdzone adresy IP, które mogą uzyskiwać dostęp do tych portów.
Zasady pozwalają zachować kontrolę nad dostępem użytkowników. Żądania są rejestrowane w dzienniku aktywności platformy Azure, dzięki czemu można łatwo monitorować i przeprowadzać inspekcję dostępu. Te zasady ułatwiają również szybkie identyfikowanie istniejących maszyn wirtualnych z włączonym dostępem do maszyn wirtualnych JIT. Możesz również zobaczyć maszyny wirtualne, na których jest zalecany dostęp do maszyn wirtualnych JIT.