Nyitott portok biztonsági kockázatai – Friss NBSZ NKI riasztás
A Nemzeti Kibervédelmi intézet friss riasztása szerint az elmúlt közel másfél év
során jelentősen megnövekedett a nem megfelelően konfigurált RDP szolgáltatást kihasználó támadások száma. Ezek azok a Portok, melyek lehetővé teszik távoli asztali kapcsolat kialakítását is.
A zsalólóvírusok már nem csak e-mail-en, hanem ezen port keresztül is bejuthatnak a szerveztek informatikai rendszereiben és gépeibe, ezáltal megbénítva a működést.
A nyitott portok számossága a megnövekedett távmunka miatt jelenősen megnőtt, azonban a riasztás szerint a bevezetési határidők szűkössége miatt nem minden esetben sikerült kellően biztonságosan beállítani azokat.
ManRisk által elsődlegesen javasolt legfontosabb biztonsági beállítások:
- TCP3389 portot csak belső, vagy jóváhagyott IP címekről engedélyezzük!
- Tiltsuk az üzemeltetéshez használt portok külső hálózatból történő használatát (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) . Amennyiben külső használat szükséges javasolt VPN használata, vagy a külsős hozzáférések belső munkatárs általi ellenőrzése.
- RDP elérés dedikált gépről történjen, ne a felhasználó otthoni gépéről.
- Változtassuk meg a portok és határvédelmi eszközök default beállításait!
- Külsős hozzáférést nem adjunk korlátlan ideig, használjunk időablakot és lejáró, minimum szintű jogosultsági köröket. Távoli hozzáférésnél ne legyenek admin jogok.
- Minden esetben használjunk megfelelően erős, nem default jelszavakat!
- Naplózzuk a portok hozzáféréseit, melyeket rendszeresen ellenőrizzünk. Naplóállományok terjedjenek ki a bejelentkezésre, a végzett műveletekre, fájl hozzáférésekre is
- Naplókat mentsük, védjük és őrizzük meg (felülírás felülvizsgálata)
- Amennyiben rendelkezünk riasztási rendszerrel, konfiguráljuk azt (pl. illetéktelen hozzáférés, illetéktelen művelet).
A kibervédelmi intézet által kiadott riasztás és további biztonsági beállításokat tartalmazó ajánlás dokumentuma: https://nki.gov.hu/wp-content/uploads/2020/04/Riasztas_nyitott_RDP_port_v3.pdf
Figyeljünk és felügyeljük a nyitott portokat, nem csak távoli asztali kapcsolat, hanem bármilyen távoli hozzáférés esetén!