Viime tiistaina Microsoft julkaisi tietoturvapäivityksen MS12-020, jolla suljetaan kaksi äskettäin havaittua virhettä Microsoftin RDP:n (Remote Desktop Protocol) toteutuksessa. Toisen niistä Microsoft leimaa ”kriittiseksi”, koska sen avulla hakkerit voivat saada LocalSystem-järjestelmän hallinnan Windows-laitteessa, jossa RDP on käytössä.
Kuten olet luultavasti jo kuullutkin, tämä on erittäin riskialtis tilanne — sellainen, joka voi johtaa yhtä vakavaan epidemiaan kuin Code Redin, Melissan tai SQL Slammerin aiheuttama epidemia. Korjaa tai korjaa ongelma nyt!
Microsoft auttaa sinua tekemään molemmat. Voit joko asentaa korjauksen tai suorittaa verkossa olevan Fix It -skriptin ongelman lieventämiseksi, kunnes korjausta käytetään. Skripti ottaa käyttöön verkkotason todennuksen, joka edellyttää todennusta ennen kuin etäjärjestelmä voi muodostaa yhteyden.
Mutta minulla on muitakin neuvoja. Kuten olen suositellut jo yli vuosikymmenen ajan, ylläpitäjien tulisi harkita Internetiin yhdistettävien palveluiden käyttämistä muissa kuin oletusarvoisissa porteissa, jos mahdollista. Tässä nimenomaisessa tapauksessa RDP:tä pitäisi käyttää jossakin muussa portissa kuin portissa 3389.
Tämä neuvo ulottuu muillekin alueille. Hallintasivustoja ei pitäisi käyttää portissa 80 tai edes 443. SSH:ta ei pitäisi kuunnella portissa 22. Telnet-isäntien ei pitäisi kuunnella porttia 23. Ainoa laajalle levinnyt yleinen palvelu, jota en ole saanut luotettavasti toimimaan muussa kuin oletusportissa, on FTP: se käyttää portteja 21 ja 22 (passiivisessa tilassa), eikä edes sen aktiivinen tila (jossa voit ilmoittaa muita portteja) toimi hyvin palomuurien läpi.
RDP:n tapauksessa voit muuttaa oletusporttia noudattamalla seuraavia ohjeita. Kun muutat oletusporttia, sinun on kuitenkin ilmoitettava yhteysmerkkijonossa muu kuin oletusportti (esimerkiksi mstsc.exe 192.168.1.12:50045
).
Suositukseni muuttaa oletuskuunteluportti koko yrityksen kattavassa palvelussa saa usein kritiikkiä osakseen. Keskeinen argumenttini on tämä: Useimmissa tapauksissa yritys voi vaihtaa oletuskuunteluportin, mikä ei aiheuta muita ongelmia kuin ylläpitäjän koulutuksen ja joidenkin skriptien ja työkalujen kertaluonteisen uudelleenmäärityksen, ja se vähentää merkittävästi aseellisten hyökkäysten riskiä.
Vaikka hakkerit ja haittaohjelmat voivat käyttää Nmapin kaltaista porttiskanneria löytääkseen uuden portin, yksikään aseellinen hyväksikäyttökohde ei ole koskaan suorittanut porttiskannausta, vaikkakin ne pystyisivät siihen helposti. Jo pelkästään tämä seikka antaa sinulle paljon suojaa.
Jotkut kutsuvat tällaista suositusta ”security by obscurity”, ikään kuin se olisi huono asia. Jos minulta kysytään, security by obscurity on yksi parhaista suojauksista. Muuten jokainen kansakunta julkistaisi, missä sen ohjukset ja ydinsukellusveneet ovat sen sijaan, että se pitäisi tiedot salassa.
Minulle SQL Slammer -mato on yksi parhaista argumenteista sille, että yleiset palvelut kannattaa sijoittaa muihin kuin oletusportteihin. Se julkaistiin vuonna 2003, ja se käytti 10 minuutissa hyväkseen lähes kaikkia mahdollisia korjaamattomia ja suojaamattomia SQL-palvelimia, jotka olivat yhteydessä Internetiin. Se räjähti varhain sunnuntaiaamuna, ja kun useimmat ylläpitäjät olivat heränneet, vahinkoa oli aiheutunut jo lähes koko työpäivän ajan.
Periaatteessa se oli ohi, kun olimme pyyhkimässä suolan karstaa silmistämme – sitten vietimme seuraavat 48 tuntia (tai pidempään) yrittäen siivota sotkua. Se oli herätys.
Kenenkään, joka oli ottanut SQL:n käyttöön muussa kuin oletusportissa (eli muussa kuin 1433:ssa ja 1434:ssä), ei tarvinnut tehdä mitään — muuta kuin katsoa rauhassa, miten muut selviytyivät katastrofeistaan. Porttia vaihtaneiden ei tarvinnut siivota valtavaa sotkua. Heidän ei tarvinnut kiirehtiä julkaisemaan korjauksia. Heillä ei ollut hyväksikäytettyjä palvelimia. Yksi muutos, jolla oli minimaalinen toiminnallinen vaikutus, ja he pystyivät välttämään tonneittain riskejä.
Muut lieventämistoimet toimivat varmasti yhtä hyvin, kuten voimassa olevan VPN-yhteyden vaatiminen ennen palveluun liittymistä, porttikontaktien yhdistelmän vaatiminen ennen palvelun käyttöönottoa tai onnistuneen tunnistautumisen vaatiminen ennen kuin palvelu vastaa (tämä on Microsoftin Fix It -ratkaisu), ja mikä tahansa muu, joka suojaa aseellisia hyökkäyksiä vastaan.
Mutta en keksi mitään muuta yksinkertaista tietoturvaratkaisua, joka vähentäisi riskiä yhtä tehokkaasti kuin oletusportin vaihtaminen, kun se on mahdollista. Jos noudatat tätä neuvoa, siirrä portti melko suureen numeroon, yli 10 000 tai 12 000, jotta vältät mahdolliset porttikonfliktit muiden olemassa olevien palvelujen kanssa. Testaa kaikki tuotantolaitteet ja päivitä tarvittavat palomuurit tai välityspalvelimet. Lukijoilla, jotka noudattivat tätä neuvoa aiemmin, ei ole tällä viikolla suurta kiirettä.