Qualsevol persona que hagi provat d'executar una màquina virtual al núvol és ben conscient que un port RDP estàndard, si es deixa obert, serà atacat gairebé immediatament per onades d'intents de força bruta de contrasenyes des de diverses adreces IP d'arreu del món.
En aquest article us mostraré com fer-ho Podeu configurar una resposta automàtica a la força bruta de la contrasenya afegint una nova regla al tallafoc. Confiança és per recollir, analitzar i emmagatzemar dades no estructurades, que ja té centenars de reaccions predefinides a diversos tipus d'atacs.
A Quest InTrust podeu configurar accions de resposta quan s'activa una regla. Des de l'agent de recollida de registres, InTrust rep un missatge sobre un intent d'autorització fallit en una estació de treball o servidor. Per configurar l'addició d'adreces IP noves al tallafoc, heu de copiar una regla personalitzada existent per detectar diverses autoritzacions fallides i obrir-ne una còpia per editar-la:
Esdeveniments a les revistes Windows utilitza l'anomenada InsertionString. (Aquest és un inici de sessió incorrecte al sistema) i veureu que els camps que ens interessen s'emmagatzemen a InsertionString14 (Nom de l'estació de treball) i InsertionString20 (Adreça de xarxa d'origen, quan s'ataca des d'Internet, el camp Nom de l'estació de treball). estigui buit, de manera que aquest lloc és important substituir el valor de l'adreça de la xarxa d'origen.
Així és el text de l'esdeveniment 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
A més, afegirem el valor Adreça de xarxa d'origen al text de l'esdeveniment.
A continuació, cal afegir un script que bloquegi l'adreça IP al tallafocs. WindowsA continuació es mostra un exemple que es pot utilitzar per a això.
Script per configurar un tallafoc
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Ara podeu canviar el nom i la descripció de la regla per evitar confusions més endavant.
Ara heu d'afegir aquest script com a acció de resposta a la regla, habilitar la regla i assegurar-vos que la regla corresponent està habilitada a la política de supervisió en temps real. L'agent ha d'estar habilitat per executar un script de resposta i ha de tenir el paràmetre correcte especificat.
Un cop finalitzada la configuració, el nombre d'autoritzacions sense èxit es va reduir un 80%. Guanys? Quin gran!
De vegades es torna a produir un petit augment, però això es deu a l'aparició de noves fonts d'atac. Aleshores tot comença a decaure de nou.
Al llarg d'una setmana de treball, es van afegir 66 adreces IP a la regla del tallafoc.
A continuació es mostra una taula amb 10 noms d'usuari habituals que es van utilitzar per als intents d'autorització.
Nom d'usuari
Nombre
En percentatges
administrador
1220235
40.78
admin
672109
22.46
user
219870
7.35
contoso
126088
4.21
contoso.com
73048
2.44
administrador
55319
1.85
servidor
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
Expliqueu-nos als comentaris com responeu a les amenaces de seguretat de la informació. Quin sistema feu servir i fins a quin punt és convenient?
Si esteu interessats a veure InTrust en acció, al formulari de comentaris del nostre lloc web o escriviu-me en un missatge personal.
Llegiu els nostres altres articles sobre seguretat de la informació:
(article popular)
Font: www.habr.com
