Sophos XG Firewall RDP Saldırıları Önleme

Sophos XG Firewall RDP Saldırıları Önleme

Bu yazımız da sizlere Sophos XG Firewall RDP Saldırıları Önleme konusunda bilgiler vereceğiz. Müşterilerinize yada personellerinize RDP bağlantısı açmanız gerektiğinde neler yapmanız gerektiğini bu yazımız da göreceğiz.

Genel Bakış

Uzak Masaüstü Protokolü (RDP) üzerinden yapılan saldırılar günümüzde halen yüksek seviyededir. Herkese açık olan RDP bağlantılarında kullanıcı adı ve şifreye yönelik Kaba Kuvvet (brute force ) atakları yapılmaktadır. İnternet üzerinden yapılan taramalardan açık görülen IP adreslerine yönelik Brute Force atakları yapılarak kullanıcıların sistemlerine girilmeye çalışılmaktadır. Saldırgan başarılı olduğunda kurbanların bilgisayarına tam erişimine / kontrolünü sağlar ve fidye yazılımlarını bir ortama dağıtmak için kullanabilir.

RDP, uzak bir kullanıcının ağınızdaki bir bilgisayara bağlanmasına izin veren meşru bir yöntemdir; bir bilgisayarı etkili bir şekilde uzak bir ekrana dönüştürür. RDP günümüzde çok kullanılan bir yöntemdir. Birçok firma işlerini uzaktan halletmek için RDP protokolünü kullanmaya devam etmektedir.

Uzak kullanıcılarımızın merkezimiz deki sunuculara erişminde güvenli yolları kullanmalı ve RDP bağlantılarını herkese açık olacak şekilde açmamalıyız.

Sophos Xg Firewall Cihazında RDP Brute Force saldırılarını önlemek için 2 yöntem mevcuttur.

  • SSL VPN ile Bağlantı
  • Beyaz liste IP Adresleri ile Bağlantı

SSL VPN ile Bağlantı

İlk ve tavsiye edilen yöntem VPN bağlantısı kullanmaktır.  VPN sayesinde kullanıcı adı ve şifresi doğrulanmış kullanıcılar sayesind güvenli bir şekilde bağlantı sağlanmaktadır.

Uzak kullanıcılarınız için bir VPN bağlantısının nasıl yapılacağını Ağ ve Sistem sitemizdeki 

Sophos XG Firewall’da Uzaktan Erişim için SSL VPN Ayarı makeleden yararlanabilirsiniz.

 

Beyaz liste IP Adresleri ile Bağlantı

RDP bağlantısı için 2.yöntem ise bir Beyaz IP listesi ile erişim izni vermektir. Bu genelde VPN bağlantısı yapmak istemeyen yada kullanıcı sayısı çok az olan yerlerde kullanılmaktadır. Bu işlem için aşağıdaki adımlarını takip etmemiz gerekmektedir.

  1. Firewall cihazına bağlanın.
  2. Güvenlik duvarı kuralı(Firewall Rule) ekle’ye tıklayın ve  Business Application Rule seçin.
  3. Application Template altından DNAT/FullNAT/Load Balancing seçeneğini seçin.
  4. Karşınıza gelen ekranı aşağıdaki şekilde doldurun:
Sophos RDP Saldırıları Önleme
Sophos RDP Saldırıları Önleme

5. Services altından, 3389 numaralı bağlantı noktasını kullanan yerleşik RDP hizmetini seçin veya tercih ettiğiniz bağlantı noktası numarasıyla yeni bir hizmet tanımı oluşturun.

6. Beyaz listeyi oluşturmak için Allow client networks altından Add New Item seçeneğini seçin.

    7. Create new seçeneğine tıklayın ve ardından IP listesini seçin. Alternatif olarak ülkeleri, ağ aralıklarını veya tek tek IP adreslerini seçebilirsiniz

   8. Evden veya dışardan bağlanacak kullanıcılar için external IP adresslerini girin.

9. Bunun yerine ülkeleri veya belirli IP adreslerini engellemek için Blocked Client Networks da kullanabilirsiniz.

Sophos RDP Saldırıları Önleme
Sophos RDP Saldırıları Önleme

10. Yazdığımız kuralı save butonuna basarak kayıt ediyoruz.

Sonuç

Şirketimiz de kullanıcılarımız için Uzak bağlantı ihtiyacı olduğunun da önceliğimiz ilk olarak VPN bağlantısı olmalıdır. Eğer VPN kullanımı mümkün olmaz ise Beyaz liste ile kural yazılmasını uygulayabiliriz.