Virtuális gépek védelme a felhőben

Mikor a rendszereinket a felhőbe költöztetjük, annyira meg szoktunk örülni annak, hogy minden “megy magától”, hogy gyakran megfeledkezünk az alapvető biztonsági teendőkről (amiket pedig a saját gépeinken amúgy meg szoktunk tenni). Az első öröm általában akkor ér minket, amikor a varázslóval pikk-pakk létrehozunk egy új virtuális gépet az Azure-ban:

create-vm

A problémák – legalábbis részben – ebből az egyszerűségből fakadnak:

  • A rendszergazda felhasználónevet nem kell megadnunk, sőt nem is lehet (lásd fent, disabled), hiszen az minden esetben Administrator.
  • A gép IP címét nem kell megadnunk, hiszen az Azure a saját tartományából ad majd neki egyet.
  • A RDP-t nem kell beállítanunk, hiszen az minden esetben engedélyezve lesz az alapértelmezett 3389-es porton.

Sajnos ez a kényelem jelentősen megkönnyíti a támadók dolgát: csak végig kell nézniük az Azure IP tartományát és be kell próbálkozniuk a 3389-es porton az Administrator felhasználóval és valamilyen jelszóval. Ilyen RDP brute force támadásra számos eszköz létezik már, és sajnos van már hír olyan esetről is, amikor a támadók sikerrel jártak.

Amit mindenképp érdemes megtenni:

  • Az RDP ne az alapértelmezett porton fusson.
  • Célszerű beállítani, hogy milyen kliens IP címekről lehet RDP-zni a gépre.
  • A rendszergazda felhasználóneve ne az alapértelmezett legyen.
  • Az admin jelszó legyen erős.

Sandrino Di Mattia cikke részletesen leírja, hogy mindezt hogyan tehetjük meg.

 

Technorati-címkék: ,,

One thought on “Virtuális gépek védelme a felhőben

  1. apr

    Web role-nál másképp működik (biztonságosabb?)

    Az adott instance-ba az azure portálon keresztül lehet rdp-zni (nincs publikus ip cím).
    És nincs “administrator” user, hanem eleve a subscriber account nevet kéri.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s