Win Server 2008 RDP Attack

1

Su una delle mie macchine eseguo il server Win 2008 R2. È stato recentemente aggiornato. La mia sessione RDP è limitata al solo indirizzo IP e il firewall è attivo. Anche se il post RDP principale 3389 è bloccato dal firewall (IP limitato) ricevo migliaia di tentativi di interruzione su un intervallo di porte diverse da 1012 a 63000. Ho allegato l'istantanea del problema. Sto ricevendo 1000 di ogni giorno, quindi il mio file di registro si riempie molto rapidamente.

Non sono un esperto di win Servers e tutto quello che posso fare a questo punto è inserire l'indirizzo IP del colpevole per bloccare l'IP nel mio firewall. Ma l'IP cambia dopo 500 tentativi regolarmente. La mia domanda è, come posso evitare questo, quindi non devo monitorare questo server ogni giorno? Qualsiasi aiuto apprezzato.

Di seguito è riportata la copia dei dettagli dell'evento uno dei numerosi tentativi di hacking:

EventData 

  SubjectUserSid S-1-5-18 
  SubjectUserName MyServer12$ 
  SubjectDomainName WORKGROUP 
  SubjectLogonId 0x3e7 
  TargetUserSid S-1-0-0 
  TargetUserName administrator 
  TargetDomainName MyServer12 
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc000006a 
  LogonType 10 
  LogonProcessName User32  
  AuthenticationPackageName Negotiate 
  WorkstationName MyServer12 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x3114 
  ProcessName C:\Windows\System32\winlogon.exe 
  IpAddress 27.151.120.145 
  IpPort 1214 

    
posta Chris Dale 13.07.2012 - 23:20
fonte

3 risposte

4

Ci sono alcuni elementi in aggiunta a ciò che hai scritto che aggiungerei.

  1. Rinomina il tuo account amministratore - Sì, questo potrebbe essere un rompicapo (specialmente se hai servizi che utilizzano l'account di amministratore di dominio), tuttavia si tratta di un nome utente di forza bruta comunemente tentato. Rinominare questo account con qualcosa di ambiguo che non sarà facilmente indovinato.
  2. Non utilizzare nomi comuni per gli account : se controlli i registri di sicurezza, noterai che una buona parte dei nomi di accesso sono nomi comuni (Amministratore, admin, sql, sa, besadmin, guest, eccetera). Assicurati di non utilizzare questi nomi utente o se devi utilizzare il nome utente assicurati che non disponga dei diritti di accesso al server desktop remoto
  3. Applica un criterio di blocco degli account - Con il tuo account amministratore rinominato e gli altri account di servizio rinominati o non hanno dato l'accesso al server remoto, ciò disabiliterà il tentativo di qualcuno di accedere con quel nome utente. Assicurati di impostarlo come criterio locale sul server remoto e non come criterio di dominio. Gli utenti tenteranno la password errata con il tuo account per la quantità X di tentativi, verranno bloccati e passeranno al successivo indirizzo IP.
  4. Ricerca sul TS Gateway - TS Gateway consente alle sessioni RDP di connettersi alla rete tramite la porta SSL standard del TCP 443. Ciò consente di disattivare completamente la porta 3389 dal mondo esterno. L'unica trappola che ho trovato con questa tecnologia è che non esiste un client Mac RDP gratuito che ti permetta di utilizzare il TS Gateway, quindi se hai dei Mac dovrai pagare per il client o per la differenza Gateway TS.
  5. Windows SSHD_Block - Un SysAdmin di talento con il nome di Evan Anderson ha scritto un bel piccolo VBScript questo bloccherà gli IP che tentano di forzare Brute Force sul tuo server Terminal. Dai un'occhiata a QUI

Spero che questi piccoli trucchi e suggerimenti ti aiutino a proteggere la tua rete.

    
risposta data 18.07.2012 - 15:01
fonte
-1

... Wow, non mi aspettavo che nessuno sarebbe stato in grado di rispondere alla mia domanda. Ho cercato tra molte fonti e ho trovato:

  1. Mi assicuro che la mia password di accesso al server soddisfi i requisiti di complessità (di seguito) e almeno 10 caratteri.

    English uppercase characters (A through Z).
    English lowercase characters (a through z).
    Base 10 digits (0 through 9).
    Non-alphabetic characters (for example, !, $, #, %).
    
  2. Alcune cose dovevano essere cambiate, alcune ignorate. Se la mia connessione RDP è già limitata solo al mio indirizzo IP, la possibilità che qualcuno possa entrare attraverso la porta 3389 è inferiore a quella minima.

    È una buona idea impostare un altro indirizzo IP affidabile autorizzato nelle regole del firewall nel caso in cui il mio indirizzo IP locale cambi. (succede sempre, i provider di servizi ISP spesso riassegnano nuovi indirizzi IP dopo un po 'di tempo) In questo modo ho ancora la possibilità di accedere al protocollo RDP.

  3. IpPort 1214 (Source Port) o altre porte tra 1012 e 63000 o più non sono le porte del Server 2008 ma sono le porte del computer host che hanno provato ad accedere, quindi non sono essere attaccato su quei porti! L'unica porta sotto l'attacco è il 3389 (porta RDP) con firewall.

  4. per impedire che il mio registro degli eventi di sicurezza si riempia, apro Server Manager - > Diagnostica - > Visualizzatore eventi - > Registri di Windows - > Sicurezza e proprietà clic.

In Proprietà (sotto la scheda Generale) tengo la casella "Abilita registrazione" selezionata e seleziona "Sovrascrivi eventi come necessario". Inoltre posso ridurre la dimensione massima del registro a 500kb o giù di lì per conservare alcuni record di log.

Ecco :) Questa sembra essere la soluzione migliore. Se ne hai uno migliore, per favore pubblicalo.

    
risposta data 17.07.2012 - 07:26
fonte
-1

È sempre consigliabile avere una politica di password rigorosa.

Anche una politica di blocco degli account è una buona cosa. Il problema principale delle politiche di blocco degli account è che se qualcuno conosce il nome standard per i tuoi utenti, è fin troppo facile causare un attacco DOS semplicemente bloccando gli account utente effettuando il login con password sbagliate e questo può essere un problema se qualcuno è fuori per causare problemi per te.

C'è anche un software chiamato Syspeace che traccia automaticamente, blocca e segnala ogni tentativo di forza bruta e penso che sia davvero facile da usare con il suo GUI.

(Dislosure - la mia azienda vende questo software)

    
risposta data 04.10.2012 - 12:57
fonte

Leggi altre domande sui tag