Calquera persoa que intentou executar unha máquina virtual na nube sabe ben que un porto RDP estándar, se se deixa aberto, será atacado case inmediatamente por ondas de intentos de forza bruta de contrasinais de varios enderezos IP de todo o mundo.
Neste artigo vou amosar como Pode configurar unha resposta automática á forza bruta do contrasinal engadindo unha nova regra ao firewall. InTrust é para recoller, analizar e almacenar datos non estruturados, que xa ten centos de reaccións predefinidas a varios tipos de ataques.
En Quest InTrust pode configurar accións de resposta cando se activa unha regra. Do axente de recollida de rexistros, InTrust recibe unha mensaxe sobre un intento de autorización non exitoso nunha estación de traballo ou servidor. Para configurar a adición de novos enderezos IP ao firewall, cómpre copiar unha regra personalizada existente para detectar varias autorizacións erradas e abrir unha copia desta para a súa edición:
Os eventos nos rexistros de Windows usan algo chamado InsertionString. (este é un inicio de sesión non exitoso no sistema) e verá que os campos que nos interesan están almacenados en InsertionString14 (Nome da estación de traballo) e InsertionString20 (Enderezo da rede de orixe). estar baleiro, polo que este lugar é importante substituír o valor do Enderezo da rede de orixe.
Así é o texto do evento 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Ademais, engadiremos o valor do enderezo da rede de orixe ao texto do evento.
A continuación, cómpre engadir un script que bloquee o enderezo IP no Firewall de Windows. A continuación móstrase un exemplo que se pode usar para iso.
Script para configurar un cortalumes
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Agora podes cambiar o nome e a descrición da regra para evitar confusións máis tarde.
Agora cómpre engadir este script como acción de resposta á regra, activar a regra e asegurarse de que a regra correspondente está activada na política de seguimento en tempo real. O axente debe estar habilitado para executar un script de resposta e debe ter especificado o parámetro correcto.
Despois de completar a configuración, o número de autorizacións sen éxito diminuíu nun 80 %. Beneficio? Que xenial!
Ás veces volve a producirse un pequeno aumento, pero isto débese á aparición de novas fontes de ataque. Entón todo comeza a declinar de novo.
Ao longo dunha semana de traballo, engadíronse 66 enderezos IP á regra do firewall.
A continuación móstrase unha táboa con 10 nomes de usuario comúns que se utilizaron para os intentos de autorización.
Nome de usuario
Número
En porcentaxes
administrador
1220235
40.78
administrador
672109
22.46
usuario
219870
7.35
retorcido
126088
4.21
contoso.com
73048
2.44
administrador
55319
1.85
servidor
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrador
32377
1.08
sgazlabdc01
31259
1.04
Cóntanos nos comentarios como respondes ás ameazas de seguridade da información. Que sistema utilizas e que comodidade é?
Se estás interesado en ver InTrust en acción, no formulario de comentarios do noso sitio web ou escríbeme nunha mensaxe persoal.
Lea os nosos outros artigos sobre seguridade da información:
(artigo popular)
Fonte: www.habr.com