Siapa pun yang pernah mencoba menjalankan mesin virtual di cloud pasti tahu bahwa port RDP standar, jika dibiarkan terbuka, akan segera diserang oleh gelombang upaya brute force kata sandi dari berbagai alamat IP di seluruh dunia.
Pada artikel ini saya akan menunjukkan caranya Anda dapat mengonfigurasi respons otomatis terhadap kekerasan kata sandi dengan menambahkan aturan baru ke firewall. InTrust adalah untuk mengumpulkan, menganalisis, dan menyimpan data tidak terstruktur, yang telah memiliki ratusan reaksi standar terhadap berbagai jenis serangan.
Di Quest InTrust Anda dapat mengonfigurasi tindakan respons saat aturan dipicu. Dari agen pengumpulan log, InTrust menerima pesan tentang upaya otorisasi yang gagal pada stasiun kerja atau server. Untuk mengonfigurasi penambahan alamat IP baru ke firewall, Anda perlu menyalin aturan khusus yang ada untuk mendeteksi beberapa otorisasi yang gagal dan membuka salinannya untuk diedit:
Peristiwa di log Windows menggunakan sesuatu yang disebut InsertionString. (ini adalah login yang gagal ke sistem) dan Anda akan melihat bahwa bidang yang kami minati disimpan di InsertionString14 (Nama Stasiun Kerja) dan InsertionString20 (Alamat Jaringan Sumber).Saat menyerang dari Internet, kemungkinan besar bidang Nama Stasiun Kerja akan kosong, jadi tempat ini penting menggantikan nilai dari Alamat Jaringan Sumber.
Seperti inilah teks acara 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Selain itu, kami akan menambahkan nilai Alamat Jaringan Sumber ke teks acara.
Maka Anda perlu menambahkan skrip yang akan memblokir alamat IP di Windows Firewall. Di bawah ini adalah contoh yang dapat digunakan untuk hal ini.
Skrip untuk menyiapkan firewall
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Sekarang Anda dapat mengubah nama dan deskripsi aturan untuk menghindari kebingungan di kemudian hari.
Sekarang Anda perlu menambahkan skrip ini sebagai tindakan respons terhadap aturan, mengaktifkan aturan, dan memastikan bahwa aturan terkait diaktifkan dalam kebijakan pemantauan waktu nyata. Agen harus diaktifkan untuk menjalankan skrip respons dan harus menentukan parameter yang benar.
Setelah pengaturan selesai, jumlah otorisasi yang gagal berkurang sebesar 80%. Laba? Bagus sekali!
Terkadang peningkatan kecil kembali terjadi, namun hal ini disebabkan munculnya sumber serangan baru. Kemudian semuanya mulai menurun lagi.
Selama seminggu kerja, 66 alamat IP ditambahkan ke aturan firewall.
Di bawah ini adalah tabel dengan 10 nama pengguna umum yang digunakan untuk upaya otorisasi.
User name
Nomor
Dalam persentase
administrator
1220235
40.78
admin
672109
22.46
pemakai
219870
7.35
contoso
126088
4.21
contoso.com
73048
2.44
administrator
55319
1.85
Server
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
Beri tahu kami di kolom komentar bagaimana Anda menanggapi ancaman keamanan informasi. Sistem apa yang Anda gunakan dan seberapa nyamannya?
Jika Anda tertarik melihat InTrust beraksi, dalam formulir umpan balik di situs web kami atau tulis kepada saya melalui pesan pribadi.
Baca artikel kami yang lain tentang keamanan informasi:
(artikel populer)
Sumber: www.habr.com