کوئی بھی جس نے کلاؤڈ میں ایک ورچوئل مشین چلانے کی کوشش کی ہے وہ اچھی طرح سے واقف ہے کہ ایک معیاری RDP پورٹ، اگر کھلا چھوڑ دیا جائے تو، دنیا بھر کے مختلف IP پتوں سے پاس ورڈ بروٹ فورس کی کوششوں کی لہروں سے تقریباً فوراً حملہ کیا جائے گا۔
اس مضمون میں میں دکھاؤں گا کہ کس طرح کرنا ہے۔ آپ فائر وال میں ایک نیا قاعدہ شامل کرکے پاس ورڈ بروٹ فورس کے لیے خودکار ردعمل کو تشکیل دے سکتے ہیں۔ InTrust ہے۔ غیر ساختہ ڈیٹا کو اکٹھا کرنے، تجزیہ کرنے اور ذخیرہ کرنے کے لیے، جس میں پہلے سے ہی مختلف قسم کے حملوں پر سینکڑوں پہلے سے طے شدہ رد عمل موجود ہیں۔
Quest InTrust میں آپ جوابی کارروائیوں کو ترتیب دے سکتے ہیں جب کوئی اصول ٹرگر ہوتا ہے۔ لاگ جمع کرنے والے ایجنٹ سے، InTrust کو ورک سٹیشن یا سرور پر اجازت دینے کی ناکام کوشش کے بارے میں ایک پیغام موصول ہوتا ہے۔ فائر وال میں نئے آئی پی ایڈریسز کو شامل کرنے کے لیے، آپ کو ایک سے زیادہ ناکام اجازتوں کا پتہ لگانے کے لیے موجودہ حسب ضرورت اصول کو کاپی کرنا ہوگا اور ترمیم کے لیے اس کی ایک کاپی کھولنا ہوگا:
ونڈوز لاگز میں ہونے والے واقعات InsertionString نامی کوئی چیز استعمال کرتے ہیں۔ (یہ سسٹم میں ایک ناکام لاگ ان ہے) اور آپ دیکھیں گے کہ جن فیلڈز میں ہماری دلچسپی ہے وہ InsertionString14 (Workstation Name) اور InsertionString20 (ماخذ نیٹ ورک ایڈریس) میں محفوظ ہیں۔ جب انٹرنیٹ سے حملہ کیا جائے تو، ورک سٹیشن کے نام کی فیلڈ غالباً خالی ہو، اس لیے یہ جگہ ماخذ نیٹ ورک ایڈریس کی قدر کی جگہ اہم ہے۔
واقعہ 4625 کا متن ایسا لگتا ہے:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
مزید برآں، ہم ایونٹ کے متن میں سورس نیٹ ورک ایڈریس ویلیو شامل کریں گے۔
پھر آپ کو ایک اسکرپٹ شامل کرنے کی ضرورت ہے جو ونڈوز فائر وال میں آئی پی ایڈریس کو بلاک کردے گی۔ ذیل میں ایک مثال ہے جسے اس کے لیے استعمال کیا جا سکتا ہے۔
فائر وال ترتیب دینے کے لیے اسکرپٹ
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
اب آپ بعد میں الجھن سے بچنے کے لیے اصول کا نام اور تفصیل تبدیل کر سکتے ہیں۔
اب آپ کو اس اسکرپٹ کو رول میں جوابی کارروائی کے طور پر شامل کرنے، اصول کو فعال کرنے، اور اس بات کو یقینی بنانے کی ضرورت ہے کہ اصل وقت کی نگرانی کی پالیسی میں متعلقہ اصول فعال ہے۔ ایجنٹ کو جوابی اسکرپٹ چلانے کے لیے فعال ہونا چاہیے اور اس کا درست پیرامیٹر ہونا چاہیے۔
ترتیبات مکمل ہونے کے بعد، ناکام اجازت ناموں کی تعداد میں 80% کمی واقع ہوئی۔ منافع؟ کیا ایک عظیم!
کبھی کبھی ایک چھوٹا سا اضافہ دوبارہ ہوتا ہے، لیکن یہ حملے کے نئے ذرائع کے ابھرنے کی وجہ سے ہے. پھر سب کچھ دوبارہ زوال پذیر ہونے لگتا ہے۔
کام کے ایک ہفتے کے دوران، فائر وال کے اصول میں 66 IP پتے شامل کیے گئے۔
ذیل میں 10 عام صارف ناموں کے ساتھ ایک جدول ہے جو اجازت دینے کی کوششوں کے لیے استعمال کیے گئے تھے۔
صارف کا نام
نمبر
فیصد میں
ایڈمنسٹریٹر
1220235
40.78
منتظم
672109
22.46
صارف
219870
7.35
متضاد
126088
4.21
contoso.com
73048
2.44
منتظم
55319
1.85
سرور
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
ہمیں تبصرے میں بتائیں کہ آپ معلومات کی حفاظت کے خطرات کا کیا جواب دیتے ہیں۔ آپ کون سا سسٹم استعمال کرتے ہیں اور یہ کتنا آسان ہے؟
اگر آپ InTrust کو عمل میں دیکھنے میں دلچسپی رکھتے ہیں، ہماری ویب سائٹ پر فیڈ بیک فارم میں یا مجھے ذاتی پیغام میں لکھیں۔
معلومات کی حفاظت پر ہمارے دوسرے مضامین پڑھیں:
(مقبول مضمون)
ماخذ: www.habr.com