Attacchi RDP a forza bruta nonostante il RDP limitato a 1 IP: COME?

4

Ho limitato le regole in entrata del firewall per RDP in Scope a 1 indirizzo IP remoto (la sezione Indirizzo IP locale è vuota). Questo è stato fatto sia per Public & Regole private / di dominio.

Questa azione ha limitato l'accesso RDP solo al mio IP. L'ho confermato io stesso provando ad accedere da un altro IP senza successo, posso solo accedere alla macchina da quel 1 IP statico.

Tuttavia ho ancora 100 tentativi di RDP di forza bruta ogni giorno. Nella sezione Registro eventi / Sicurezza vedo costantemente altri (non riusciti) tentativi RDP da altri indirizzi IP (che sembrano esterni).

Elenco dei registri "Nome utente sconosciuto o password errata" in modo che indichi che stanno per passare il firewall.

Ho anche modificato la porta RDP in una porta personalizzata #, ma ciò non ha aiutato, presumo che venga eseguita la scansione per le porte aperte.

Come può accadere questo quando non riesco ad accedere da un IP diverso?

Potrebbe essere che gli aggressori aggirino in qualche modo la regola di Windows Firewall?

C'è qualcos'altro che devo disabilitare dai servizi Windows?

Inoltre che altro si può fare per prevenire questo?

Apprezzo qualsiasi aiuto qui perché non sono sicuro su come fermarlo, grazie!

    
posta AlexVPerl 22.07.2016 - 21:56
fonte

2 risposte

2

Questo può accadere spesso con i controller di dominio.

Hai un controller di dominio? In tal caso, nel DC, abilitare il file di debug netlogon.log (tramite prompt cmd elevato ):

nltest /DBFlag:2080FFFF

Ora vai a %WINDIR%\debug\netlogon.log e aprilo. Sarai in grado di vedere gli utenti che tentano di accedere e su quali macchine stanno tentando di accedere. Può accadere che tu abbia altri sistemi sulla rete che stanno provando a RDP in quei sistemi che usano le credenziali di Active Directory.

Dovresti essere in grado di rintracciare il server incriminato con i dati di cui sopra. La mia ipotesi è che qualcosa di collegato al DC sia esposto a 0.0.0.0/0:3389 , come un server AWS che remoti nella tua rete usando una VPN. Potresti voler controllare i tuoi gruppi di sicurezza AWS.

Potrebbe davvero essere qualsiasi cosa, però. Dovrai trovare questo server prima che diventi un punto di svolta.

Detto questo, nessuno dei suggerimenti di Wireshark in questo thread rileverà questo comportamento a meno che tu non sia sul sistema in cui è in esecuzione RDP, il che probabilmente non è il controller di dominio. Dovrai andare direttamente ai registri di DC e scoprire da solo dove si trova.

Per disabilitare il debug di netlogon.log in seguito (tramite prompt dei comandi con privilegi elevati):

nltest /DBFlag:0x0 
    
risposta data 31.08.2017 - 03:43
fonte
0

Il tuo firewall sta funzionando. Nulla di cui lamentarsi.

Permette solo quell'IP, gli altri vengono bloccati e registrati in modo da sapere che qualcun altro sta cercando di raggiungere il tuo RDP.

    
risposta data 22.07.2016 - 22:29
fonte

Leggi altre domande sui tag