امن سازی پروتکل دسکتاپ از راه دور (RDP) با استفاده از احراز هویت بدون رمز عبور

امن‌سازی پروتکل دسکتاپ از راه دور (RDP)

پروتکل دسکتاپ از راه دور (RDP) یک پروتکل اختصاصی مایکروسافت است که در دو دهه گذشته با محصولات ویندوز عرضه شده است. این پروتکل به کاربران اجازه می‌دهد تا به یک کامپیوتر دیگر، که مثلاً در یک شبکه سازمانی قرار دارد، متصل شوند و از دستگاه به صورت از راه دور استفاده کنند. این کار، این امکان را برای کاربران فراهم می‌کند تا بدون استفاده از VPN به شبکه‌ها دسترسی داشته باشند. با این حال، دسترسی که RDP به کاربران می‌دهد، می‌تواند توسط مهاجمان نیز برای نفوذ به شبکه‌ها مورد استفاده قرار گیرد. افزایش چشمگیر استفاده از پروتکل دسکتاپ از راه دور توسط کارکنان در طول قرنطینه‌های کووید-19 و ادامه کار از راه دور، به هکرها نقاط پایانی آسیب‌پذیر بیشتری برای تلاش برای نفوذ ارائه کرد. از این رو سازمان‌ها باید به امن‌سازی پروتکل دسکتاپ از راه دور (RDP) فکر کنند.

در سال ۲۰۲۰، محققان امنیتی در ESET بیش از ۲۹ میلیارد تلاش حمله به RDP را پیدا کردند، که افزایش ۷۶۸ درصدی را نسبت به سال قبل‌تر نشان داد. مرکز امنیت سایبری ملی بریتانیا اعلام کرد که پروتکل دسکتاپ از راه دور همچنان “رایج‌ترین روش حمله مورد استفاده توسط تهدیدات برای دسترسی به شبکه‌ها” است. دسترسی به نقاط پایانی RDP همچنین یکی از محبوب‌ترین اشکال موارد هک شده است، و هزاران نقطه دسترسی در هر زمان در بازارهای سیاه وب برای فروش وجود دارد. اگر یک مهاجم بخواهد به یک سازمان خاص حمله کند، می‌تواند به سادگی دسترسی RDP را که قبلاً به خطر افتاده است، خریداری کند. از آنجایی که RDP یک ابزار حیاتی برای کسب‌وکارها است، اما در صورت به خطر افتادن، می‌تواند دسترسی کامل به شبکه را به مهاجمان بدهد، تیم‌های امنیتی سازمانی باید راه‌هایی برای ایمن‌سازی RDP برای شبکه‌های خود پیدا کنند.

 

چگونه RDP را ایمن کنیم: بردارهای حمله

قبل از اینکه به بررسی نحوه ایمن‌سازی RDP بپردازیم، مهم است که درک کنیم مهاجمان چگونه در وهله اول به آن دسترسی پیدا می‌کنند.

1. دسترسی

اولین قدم در هر حمله RDP، دسترسی به یک نقطه پایانی قابل اعتماد است. از آنجایی که هر کاربر شبکه یک هدف است، مهاجمان گزینه‌های متعددی دارند، زیرا معمولاً تنها به یک نام کاربری و رمز عبور برای عبور از فرآیند احراز هویت نیاز دارند. در حملات RDP، مسیرهای اصلی برای مهاجمان برای نقض احراز هویت عبارتند از:

  • حمله با تکنیک جستجوی فراگیر: اگر مهاجمی نام کاربری داشته باشد، تلاش‌های متعددی برای ورود به سیستم با رمزهای عبور مختلف انجام می‌دهد، مانند حملات دیکشنری یا لیست رمزهای عبور رایج.
  • فیشینگ: به کاربر ایمیلی ارسال می‌شود که ظاهراً از طرف مدیر سیستم است و از او می‌خواهد برای انجام عملی مانند تغییر رمز عبور وارد سیستم شود. با این حال، لینک به یک پروکسی کنترل‌شده توسط مهاجم هدایت می‌شود که جزئیات ورود کاربر را فاش می‌کند.
  • مهندسی اجتماعی: این روش از تمایلات اجتماعی کاربر برای فریب دادن او برای تحویل رمز عبور خود سوء استفاده می‌کند. به عنوان مثال، دسترسی به حساب ایمیل یک همکار و ارسال ایمیل به قربانی برای درخواست جزئیات ورود به سیستم برای پوشش یک مورد اضطراری. رابطه اعتماد و احساس فوریت می‌تواند کاربران را به پاسخ سریع بدون فکر کردن سوق دهد.
2. شناسایی

پس از اینکه مهاجم احراز هویت را دور زده و به شبکه دسترسی پیدا کرد، اقدام به شناسایی امتیازات حساب کاربری و نحوه تشدید حمله می‌کند.

3. آماده‌سازی

همانطور که در حملاتی مانند SolarWinds دیده می‌شود، برخی از مهاجمان ماه‌ها قبل از انجام هر کاری، فقط به مشاهده ترافیک و سیستم‌ها می‌پردازند. یکی از مشکلات اصلی برای مدیرانی که به دنبال نحوه ایمن‌سازی RDP هستند، این است که تشخیص نفوذ بسیار دشوارتر است، زیرا یک شبکه RDP به طور طبیعی تعداد زیادی اتصال از مکان‌ها و کاربران مختلف دریافت می‌کند.

4. اجرای حمله

دلیل اینکه یک مهاجم به دنبال دسترسی به شبکه است، به سه چیز خلاصه می‌شود: سرقت داده، استقرار بدافزار یا تشدید حمله. پس از اینکه مهاجم شناسایی و آماده‌سازی خود را انجام داد، از دسترسی پروتکل دسکتاپ از راه دور برای انجام یکی از این سه کار استفاده می‌کند.

 

چگونه RDP را ایمن کنیم: دفاع‌ها

خوشبختانه برای هر تیمی که به دنبال نحوه ایمن‌سازی RDP برای سازمان خود است، چندین اقدام مقابله‌ای وجود دارد که می‌توانند پیاده‌سازی کنند.

·       احراز هویت چند عاملی (MFA)

از آنجایی که اصلی‌ترین مسیر دسترسی برای مهاجمان، احراز هویت است، این مورد باید تمرکز اصلی برای پیشگیری باشد. احراز هویتی که فقط به یک نام کاربری و رمز عبور نیاز دارد، اساساً هیچ محافظتی ارائه نمی‌دهد و مهاجمان به طور فعال به دنبال سیستم‌هایی هستند که به این نوع احراز هویت متکی هستند. برای کاهش این آسیب‌پذیری، هر سازمانی که به دنبال نحوه ایمن‌سازی RDP است، باید حداقل احراز هویت چند عاملی را پیاده‌سازی کند. MFA از کاربران می‌خواهد چیزی که در اختیار دارند (OTP، دستگاه، کلید امنیتی) یا چیزی که هستند (اسکن چهره، اثر انگشت) را علاوه بر یا به جای چیزی که می‌دانند (رمز عبور، پین) ارائه دهند.

·     احراز هویت بدون رمز عبور کامل

MFA سنتی حاشیه‌ای از امنیت را به استقرارهای RDP اضافه می‌کند، اما در برابر تکنیک‌های مختلف دور زدن آسیب‌پذیر است. برای ایمن‌سازی کامل RDP با MFA، باید رمزهای عبور مشترک را کاملاً از فرآیند احراز هویت حذف کنید. این کار باعث می‌شود مهاجمان نتوانند عوامل احراز هویت را حدس بزنند یا سرقت کنند و جعل هویت بسیار سخت‌تر شود. به‌طور خاص، احراز هویت بدون رمز عبور مبتنی بر استانداردهای FIDO در برابر فیشینگ، حملات مرد میانی و تلاش‌های هک مقاوم است زیرا از عوامل ناامن مانند SMS یا OTP استفاده نمی‌کند. علاوه بر این، از آنجایی که بر اساس رمزنگاری کلید عمومی است، هیچ راز مشترکی سمت سرور برای سرقت وجود ندارد تا یک نقض موفق را تشدید کند.

·       کنترل دسترسی مبتنی بر نقش (RBAC)

این شیوه دسترسی به داده‌ها را برای کاربران تنها بر اساس اصل نیاز به دانستن مجاز می‌نماید و از نظر تئوری از دسترسی گسترده یک مهاجم به شبکه پس از یک نقض احراز هویت جلوگیری می‌کند. با این حال، ممکن است چالش‌های قابل توجهی در اجرا و نظارت بر کنترل دسترسی وجود داشته باشد، زیرا نقش‌ها و نیازهای کاربران تغییر می‌کنند و نیاز به اختصاص و لغو مداوم امتیازات دارند.

·       مدیریت وصله‌ها

نسخه‌های متعددی از RDP وجود دارد که قدمت آن‌ها به دو دهه گذشته بازمی‌گردد و چندین نقص عمده در آن‌ها یافت شده است. برای ایمن‌سازی RDP، سازمان‌ها باید نسخه‌های خود را وصله کرده و به‌روز نگه دارند، زیرا مهاجمان می‌توانند به راحتی سیستم‌هایی را که هنوز از نسخه‌های آسیب‌پذیر استفاده می‌کنند، شناسایی کنند.

·       اطمینان از پیکربندی صحیح پورت

اگرچه RDP به طور پیش‌فرض از TCP 3389 و UDP 3389 استفاده می‌کند، اما پیکربندی‌های سفارشی می‌توانند منجر به باز بودن پورت‌های غیرمجاز شوند. بنابراین، نظارت و تقویت امنیت بر روی استفاده از پورت برای ایمن‌سازی شبکه‌های پروتکل دسکتاپ از راه دور ضروری است.

 

امن‌سازی پروتکل دسکتاپ از راه دور (RDP) با نشانه

پروتکل دسکتاپ از راه دور (RDP) که در سیستم‌های مایکروسافت عرضه می‌شود و استفاده از آن در سه سال گذشته به طور قابل توجهی افزایش یافته است، به کاربران اجازه می‌دهد تا از مکان‌های دور به رایانه‌های خود دسترسی کامل داشته باشند. متأسفانه، این پروتکل همچنین اصلی‌ترین روش حمله برای مهاجمان است که به دنبال دسترسی به شبکه با سوء استفاده از مسائل احراز هویت هستند. سیستم‌هایی که فقط به یک نام کاربری و رمز عبور نیاز دارند، آسیب‌پذیرترین هستند، زیرا به مهاجمان اجازه می‌دهد از حملات جستجوی فراگیر، فیشینگ و مهندسی اجتماعی برای به دست آوردن دسترسی RDP استفاده کنند.

اگر در حال بررسی نحوه امن‌سازی پروتکل دسکتاپ از راه دور (RDP) برای سازمان خود هستید، اولین قدم دفاعی شما باید استقرار سیستم‌های احراز هویت قوی باشد. ایمن‌ترین شیوه، احراز هویت بدون رمز عبور است تا تمام رازهای مشترک را کاملاً از احراز هویت RDP شما حذف نماید.

راهکار احراز هویت بدون رمز عبور نشانه (توسعه داده شده در شرکت رهسا – ره‌آورد سامانه‌های امن) به کارکنان شما اجازه می‌دهد تا با یک تجربه کاربری ساده، به طور ایمن به سیستم‌های دسترسی از راه دور، از جمله RDP، وارد شوند. برای اطلاع از اینکه چگونه نشانه می‌تواند راه‌حلی برای امن‌سازی پروتکل دسکتاپ از راه دور (RDP) برای نیروی کار شما و محافظت از دارایی‌های سازمانی شما باشد، با تیم ما تماس بگیرید.
توکن‌های اثر انگشتی، پیشنهاد امن احراز هویت بدون گذرواژه ما به شماست

ارسال یک دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اسکرول به بالا