Proteger máquinas virtuais com o acesso JIT à VM
Os ataques de login de força bruta geralmente têm como alvo portas de gerenciamento como um meio de obter acesso a uma máquina virtual (VM) ou servidor. Se for bem-sucedido, um invasor pode assumir o controle do host e estabelecer uma base em seu ambiente. Um ataque de força bruta consiste em verificar todos os nomes de utilizador ou palavras-passe possíveis até que seja encontrado um elemento correto.
Esta forma de ataque não é a mais sofisticada, mas ferramentas como o THC-Hydra tornam-no um ataque relativamente simples de executar. Por exemplo, a sequência de comandos a seguir é usada para atacar um servidor Windows.
user@debian$ hydra -l administrator -P wordlist.txt rdp://13.66.150.191 -t 1 -V -f
Hydra v9.0 (c) 2004 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org) starting at 2019-10-10 17:38:44
[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), ~0 tries per task
[DATA] attacking service rdp on port 3389
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "123456"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "654321"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "password"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "iloveyou"
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "rockyou"
...
[ATTEMPT] target 13.66.150.191 – login “administrator” – pass "P@ssword!123"
[3389][rdp] host 13.66.150.191 login: administrator password: P@ssword!123
[STATUS] attack finished for 13.66.150.191 (waiting for children to complete tests)
Pare os ataques de força bruta
Como resposta a ataques de força bruta, pode tomar múltiplas medidas, tais como:
Desative o endereço IP público e use um destes métodos de conexão:
- Uma rede virtual privada (VPN) ponto-a-site.
- Crie uma VPN site a site.
- Use o Azure ExpressRoute para criar links seguros de sua rede local para o Azure.
Exigir a autenticação de dois fatores
Aumentar o comprimento e a complexidade das palavras-passe
Limitar as tentativas de início de sessão
Implementar um CAPTCHA
Limitar a quantidade de tempo que as portas estão abertas
Esta abordagem final é o que o Microsoft Defender for Cloud implementa em seu nome. As portas de gerenciamento, como Área de Trabalho Remota e SSH, só precisam estar abertas enquanto você estiver conectado à VM. Por exemplo, para executar tarefas de gestão ou manutenção. Os recursos de segurança aprimorados do Microsoft Defender for Cloud oferecem suporte ao acesso à máquina virtual (VM) Just-in-time (JIT). Quando o acesso à VM JIT está habilitado, o Defender for Cloud usa regras de grupo de segurança de rede (NSG) para restringir o acesso às portas de gerenciamento. O acesso é restrito quando as portas não estão em uso, para que os invasores não possam direcioná-las.
Criar uma política que permita o acesso à VM JIT
Ao habilitar o acesso a VMs JIT para suas VMs, você pode criar uma política que determina:
- As portas para ajudar a proteger.
- O período de tempo em que as portas devem permanecer abertas.
- Os endereços IP aprovados que podem acessar essas portas.
A política permite-lhe manter o controlo sobre o que os utilizadores podem fazer quando pedem acesso. As solicitações são registradas no log de atividades do Azure para que você possa monitorar e auditar o acesso facilmente. A política também ajuda a identificar rapidamente as VMs existentes que têm o acesso à VM JIT habilitado. Você também pode ver as VMs onde o acesso à VM JIT é recomendado.