Όποιος έχει προσπαθήσει να τρέξει μια εικονική μηχανή στο σύννεφο γνωρίζει καλά ότι μια τυπική θύρα RDP, εάν αφεθεί ανοιχτή, θα δεχθεί σχεδόν αμέσως επίθεση από κύματα προσπαθειών ωμής δύναμης κωδικού πρόσβασης από διάφορες διευθύνσεις IP σε όλο τον κόσμο.
Σε αυτό το άρθρο θα δείξω πώς να Μπορείτε να διαμορφώσετε μια αυτόματη απόκριση στην ωμή δύναμη κωδικού πρόσβασης προσθέτοντας έναν νέο κανόνα στο τείχος προστασίας. Το InTrust είναι για τη συλλογή, την ανάλυση και την αποθήκευση μη δομημένων δεδομένων, τα οποία έχουν ήδη εκατοντάδες προκαθορισμένες αντιδράσεις σε διάφορους τύπους επιθέσεων.
Στο Quest InTrust μπορείτε να διαμορφώσετε τις ενέργειες απόκρισης όταν ενεργοποιείται ένας κανόνας. Από τον παράγοντα συλλογής αρχείων καταγραφής, το InTrust λαμβάνει ένα μήνυμα σχετικά με μια ανεπιτυχή προσπάθεια εξουσιοδότησης σε σταθμό εργασίας ή διακομιστή. Για να διαμορφώσετε την προσθήκη νέων διευθύνσεων IP στο τείχος προστασίας, πρέπει να αντιγράψετε έναν υπάρχοντα προσαρμοσμένο κανόνα για τον εντοπισμό πολλαπλών αποτυχημένων εξουσιοδοτήσεων και να ανοίξετε ένα αντίγραφό του για επεξεργασία:
Τα συμβάντα στα αρχεία καταγραφής των Windows χρησιμοποιούν κάτι που ονομάζεται InsertionString. (αυτή είναι μια ανεπιτυχής σύνδεση στο σύστημα) και θα δείτε ότι τα πεδία που μας ενδιαφέρουν είναι αποθηκευμένα στο InsertionString14 (Όνομα σταθμού εργασίας) και InsertionString20 (Διεύθυνση δικτύου πηγής). Κατά την επίθεση από το Διαδίκτυο, το πεδίο Όνομα σταθμού εργασίας πιθανότατα θα να είναι κενό, επομένως αυτό το μέρος είναι σημαντικό να αντικαταστήσει την τιμή από τη Διεύθυνση Δικτύου Πηγής.
Έτσι μοιάζει το κείμενο του συμβάντος 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Επιπλέον, θα προσθέσουμε την τιμή Διεύθυνση δικτύου πηγής στο κείμενο του συμβάντος.
Στη συνέχεια, πρέπει να προσθέσετε μια δέσμη ενεργειών που θα μπλοκάρει τη διεύθυνση IP στο Τείχος προστασίας των Windows. Παρακάτω είναι ένα παράδειγμα που μπορεί να χρησιμοποιηθεί για αυτό.
Σενάριο για τη ρύθμιση ενός τείχους προστασίας
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Τώρα μπορείτε να αλλάξετε το όνομα και την περιγραφή του κανόνα για να αποφύγετε τη σύγχυση αργότερα.
Τώρα πρέπει να προσθέσετε αυτό το σενάριο ως ενέργεια απόκρισης στον κανόνα, να ενεργοποιήσετε τον κανόνα και να διασφαλίσετε ότι ο αντίστοιχος κανόνας είναι ενεργοποιημένος στην πολιτική παρακολούθησης σε πραγματικό χρόνο. Ο πράκτορας πρέπει να είναι ενεργοποιημένος για την εκτέλεση μιας δέσμης ενεργειών απόκρισης και πρέπει να έχει καθοριστεί η σωστή παράμετρος.
Μετά την ολοκλήρωση των ρυθμίσεων, ο αριθμός των ανεπιτυχών εξουσιοδοτήσεων μειώθηκε κατά 80%. Κέρδος? Τι υπέροχο!
Μερικές φορές μια μικρή αύξηση εμφανίζεται ξανά, αλλά αυτό οφείλεται στην εμφάνιση νέων πηγών επίθεσης. Τότε όλα αρχίζουν να υποχωρούν ξανά.
Κατά τη διάρκεια μιας εβδομάδας εργασίας, 66 διευθύνσεις IP προστέθηκαν στον κανόνα του τείχους προστασίας.
Ακολουθεί ένας πίνακας με 10 κοινά ονόματα χρήστη που χρησιμοποιήθηκαν για προσπάθειες εξουσιοδότησης.
Όνομα χρήστη
ΠΟΣΟΤΗΤΑ
Σε ποσοστά
διαχειριστής
1220235
40.78
διαχειριστής
672109
22.46
χρήστη
219870
7.35
στρεβλωμένος
126088
4.21
contoso.com
73048
2.44
διαχειριστής
55319
1.85
διακομιστής
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
Administrateur
32377
1.08
sgazlabdc01
31259
1.04
Πείτε μας στα σχόλια πώς απαντάτε σε απειλές για την ασφάλεια των πληροφοριών. Τι σύστημα χρησιμοποιείτε και πόσο βολικό είναι;
Εάν ενδιαφέρεστε να δείτε το InTrust σε δράση, στη φόρμα σχολίων στον ιστότοπό μας ή γράψτε μου σε προσωπικό μήνυμα.
Διαβάστε τα άλλα άρθρα μας σχετικά με την ασφάλεια πληροφοριών:
(δημοφιλές άρθρο)
Πηγή: www.habr.com