Vsakdo, ki je poskušal zagnati virtualni stroj v oblaku, se dobro zaveda, da bodo standardna vrata RDP, če ostanejo odprta, skoraj takoj napadena z valovi poskusov brutalnega gesla z različnih naslovov IP po vsem svetu.
V tem članku bom pokazal, kako Konfigurirate lahko samodejni odziv na nasilno uporabo gesla tako, da požarnemu zidu dodate novo pravilo. InTrust je za zbiranje, analiziranje in shranjevanje nestrukturiranih podatkov, ki ima že na stotine vnaprej določenih reakcij na različne vrste napadov.
V Quest InTrust lahko konfigurirate odzivna dejanja, ko se pravilo sproži. Od posrednika za zbiranje dnevnikov InTrust prejme sporočilo o neuspešnem poskusu avtorizacije na delovni postaji ali strežniku. Če želite konfigurirati dodajanje novih naslovov IP v požarni zid, morate kopirati obstoječe pravilo po meri za zaznavanje več neuspešnih avtorizacij in odpreti njegovo kopijo za urejanje:
Dogodki v dnevnikih sistema Windows uporabljajo nekaj, kar se imenuje InsertionString. (to je neuspešna prijava v sistem) in videli boste, da so polja, ki nas zanimajo, shranjena v InsertionString14 (Ime delovne postaje) in InsertionString20 (Izvorni omrežni naslov). Pri napadu iz interneta bo polje Ime delovne postaje najverjetneje prazno, zato je pomembno, da nadomestite vrednost iz izvornega omrežnega naslova.
Takole izgleda besedilo dogodka 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Poleg tega bomo besedilu dogodka dodali vrednost izvornega omrežnega naslova.
Nato morate dodati skript, ki bo blokiral naslov IP v požarnem zidu Windows. Spodaj je primer, ki ga lahko uporabite za to.
Skripta za nastavitev požarnega zidu
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Zdaj lahko spremenite ime in opis pravila, da se izognete kasnejši zmedi.
Zdaj morate ta skript dodati kot odgovor na pravilo, omogočiti pravilo in zagotoviti, da je ustrezno pravilo omogočeno v pravilniku za spremljanje v realnem času. Agent mora imeti omogočeno izvajanje odzivnega skripta in mora imeti naveden pravilen parameter.
Po končanih nastavitvah se je število neuspešnih avtorizacij zmanjšalo za 80 %. Dobiček? Kako super!
Včasih se ponovno pojavi majhno povečanje, vendar je to posledica pojava novih virov napada. Potem začne spet vse upadati.
V tednu dela je bilo pravilom požarnega zidu dodanih 66 naslovov IP.
Spodaj je tabela z 10 pogostimi uporabniškimi imeni, ki so bila uporabljena za poskuse avtorizacije.
Uporabniško ime
Število
V odstotkih
skrbnik
1220235
40.78
admin
672109
22.46
uporabnik
219870
7.35
contoso
126088
4.21
contoso.com
73048
2.44
Skrbnik
55319
1.85
strežnik
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
Administrateur
32377
1.08
sgazlabdc01
31259
1.04
V komentarjih nam povejte, kako se odzivate na grožnje informacijski varnosti. Kateri sistem uporabljate in kako priročen je?
Če vas zanima videti InTrust v akciji, v obrazcu za povratne informacije na naši spletni strani ali mi pišite v osebnem sporočilu.
Preberite naše druge članke o informacijski varnosti:
(poljuden članek)
Vir: www.habr.com