Szegedi Tudományegyetem - Ahol tudás és szándék találkozik

Nemrég az Egyetem számítógépeit támadás érte, amely a Távoli Asztal Kapcsolat (Remote Desktop, RDP, TCP/3389) szolgáltatáson alapult, és több száz gépet érintett. A támadás eredményeképpen az érintett gépek intenzív kifelé menő forgalmat produkáltak a két támadó felé, ami ha nem is bénította meg a hálózat működését, de a normálisnál nagyságrenddel nagyobb terhelést jelentett. A támadás pontos természetét még nyomozzuk.

Az eset alapján, az alábbi beállítások elvégzését javasoljuk, hogy a Microsoft Windows operációs rendszerekben a Távoli Asztal Kapcsolat biztonságosabban működjön.

Amennyiben a jövőben újra előfordul valamely számítógép esetén a fentiekhez hasonló támadás, akkor az adott számítógép IP címét letiltjuk. Ha újra nagyszámú gépet érintő támadás fordul elő, akkor megfontoljuk a Távoli Asztal Kapcsolat lekorlátozását az egyetemi IP cím tartományra. Így külső IP címekről pl. az SZTE VPN-szolgáltatással lesz elérhető a Távoli Asztal Kapcsolat.

Javaslatok a Távoli Asztal Kapcsolat biztonságának növelésére:

1. Használjanak erős jelszavakat, azaz a jelszó tartalmazzon kis- és nagybetűt, speciális karaktert, számot, illetve lehetőleg ne a legelterjedtebb felhasználóneveket (user, admin, administrator, root, rendszergazda) használják.
   
2. Mindig legyenek feltelepítve a legújabb Windows frissítések, mind a kliens, mind a szerver operációs szoftverek esetén.
   
3. Amennyiben van rá lehetőség, állítsák be az adott számítógép tűzfalában, hogy csak adott IP címekről legyen elérhető a TCP/3389-es port.
   
4. Korlátozzák, hogy a számítógép mely felhasználói csatlakozhassanak a Távoli Asztal Kapcsolaton keresztül.
   
5. Változtassák meg a Távoli Asztal Kapcsolat alapértelmezett figyelő portját (TCP/3389-es port) valami másra. Erről az alábbi linken olvashatnak bővebben: http://support2.microsoft.com/kb/306759 (Amennyiben az előbbi link nem működik, akkor a dokumentum megtekintéséhez kattintson ide. )
   
6. Korlátozzák a belépési kísérletek számát az adott számítógépen. Erről bővebben az alábbi linken olvashatnak: http://technet.microsoft.com/en-us/library/cc783225(v=ws.10).aspx (Amennyiben az előbbi link nem működik, akkor a dokumentum megtekintéséhez kattintson ide. )
   
7. Használjanak SSH-tunnelinget. Erről bővebben az alábbi linken olvashatnak:
   https://bytealmanac.wordpress.com/2011/11/13/tunnelling-a-remote-desktop-connection-thru-putty-in-windows/ (Amennyiben az előbbi link nem működik, akkor a dokumentum megtekintéséhez kattintson ide. )
   
8. Használják az egyetemi VPN-szolgáltatást, és ezzel párhuzamosan állítsák be az adott számítógép tűzfalában, hogy csak az egyetemi IP cím tartományból legyen elérhető a TCP/3389-es port.
   
9. Kapcsolják be a Microsoft által javasolt Network Level Authentication szolgáltatást. Erről bővebben az alábbi linken olvashatnak: http://technet.microsoft.com/en-us/library/cc732713 (Amennyiben az előbbi link nem működik, akkor a dokumentum megtekintéséhez kattintson ide. )
   

Fontos, hogy a fenti beállításokat csak a megfelelő szakértelemmel rendelkezők végezzék el. Amennyiben valaki nem teljesen biztos a dolgában, kérjen rendszergazdai segítséget!

Szeged, 2014. december 10.

SZTE ESZK