WebDAV tenta automaticamente di connettersi in remoto a causa dello spazio dei nomi DFS?

1

Recentemente ho acquistato e installato un WAF (dopo molte suppliche).

Ho uno spazio dei nomi DFS chiamato \mycompany.com\ che è basato sul mio nome di dominio Active Directory mycompany.com . Il dominio del mio sito web è mycompany.com

Gli utenti sono associati allo spazio dei nomi DFS \mycompany.com\ourfiles\etc\

Ora il mio WAF sta segnalando una rivelazione di attacco generica da IP provenienti dalla mia area geografica circostante che punta a mycompany.com\ourfiles\etc\ Usando Microsoft-WebDAV-MiniRedir / 6.1.7601 (che è un WebDAV di Windows 7 se ricordo) su HTTP. Presumo dagli utenti che hanno portato a casa i laptop.

A volte il percorso della cartella che appare è molto specifico, tuttavia non fuori dall'ordinario per il collegamento a qualcuno.

La mia domanda è come dovrei affrontare questo? So che il WAF riferirà su qualcosa di strano. Sono in grado di replicare facilmente questo rapporto tentando manualmente di mappare un'unità di rete al di fuori della mia rete. \mycompany.com\files\etc\

Quando provo a utilizzare un sistema di dominio aggiunto da una WAN esterna per provare a replicare questo problema senza mappatura manuale non riesco a farlo. Anche WebDav o Windows Authentication non sono installati sul server web.

Modifica: per chiarimenti c'è un problema di sicurezza qui? o è completamente benigno?

    
posta Sarge 08.09.2015 - 21:07
fonte

1 risposta

1

Credo che Win 7+ tenterà automaticamente di connettersi a un servizio WebDAV se il link è formattato come tu hai, pensando che il servizio si trovi su un sistema remoto da qualche parte. (IE su un'unità mappata che fa qualcosa come \\ example.com \ folder \ attiverà MS per cercare servizi esterni in quel dominio usando WebDAV)

Metodo 1

Se non si dispone di un servizio WebDAV per utenti esterni, è sufficiente filtrare tutto il traffico WebDAV. Lascia che venga registrato e puoi probabilmente abbassare / disattivare la soglia di notifica.

Metodo 2 - Non consigliato

Credo che Windows abbia un modo per disabilitare WebDAV sui portatili. Questo potrebbe invariabilmente interrompere qualcos'altro, ma vale la pena esaminare se la tua azienda non utilizza il servizio. (Ciò creerà un utente che si lamenta del treno se rompe qualcosa che usano frequentemente, società collegate o meno)

Preoccupazioni per la sicurezza

Se la tua azienda non fa affidamento su WebDAV per nulla e blocchi tutte le comunicazioni in entrata del traffico WebDAV, hai un impatto minimo. Non c'è nulla di veramente pressante sui trigger WebDAV che ti fanno andare, OMG NOI SONO DOOOOOMED, sulla base della tua analisi iniziale (penso che tu abbia ragione di presumere che siano falsi positivi). A questo punto è la linea di base da tenere sotto controllo, a meno che un attacco non abbia una conoscenza attiva della struttura della directory, provando a caso la richiesta WebDAV sarà abbastanza ovvia anche tra i falsi positivi.

In breve, il tuo pre-avvertimento sarà leggermente ostacolato, se ti abituerai a vedere tonnellate di falsi positivi.

    
risposta data 09.09.2015 - 00:29
fonte

Leggi altre domande sui tag