none
Bloqueo malintencionado de cuentas por OWA

    Pregunta

  • Desde fuera de nuestra organización, alguien intencionadamente está bloqueando cuentas de usuario. La forma de actuar es haciendo varios logons erroneos a traves de OWA. Una vez alcanzado el límite establecido la cuenta se bloquea. ¿Hay alguna forma de parar esto?

    Saludos.

    lunes, 28 de mayo de 2012 16:02

Respuestas

  • Hola Tarro,

    ¿Has verificado el origen de estas peticiones desde tu Firewall? Sino quieres bajar el nivel de seguridad de bloqueo de cuentas de tu organización trata de averiguar el origen (IP) que está realizando los ataques brute force contra OWA y intenta banear el acceso HTTPS contra owa para ese origen.

    Otra opción es configurar el account lockout duration, de manera que las cuentas se sigan bloquando al ejecutarse 'n' intentos fallidos, pero que estas se desbloqueen automáticamente en unos minutos. Puedes consultar como implementarlo -> http://technet.microsoft.com/en-us/library/cc758659(v=ws.10).aspx

    Saludos.

    Julio Rosua

    martes, 29 de mayo de 2012 8:25
  • Si lo están haciendo de forma manual (es una persona) poco podrás hacer.... Únicamente podrías ampliar el número de intentos de login antes de bloquear la cuenta, con el fin que se canse de probar contraseñas. 

    Piensa que si lo haces, bajará el nivel de seguridad, así que para compensar, aplica una política de contraseñas más segura (símbolos, mayusculas, minusculas, etc...)


    Saludos,
    Albert

    martes, 29 de mayo de 2012 7:33
  • Hola Tarro,

    El caso es complicado, la combinación de seguridad ideal para evitar brute force attacks sobre OWA es una combinación de GPO settings a nivel account y Firewall. 

    A nivel GPO tienes el account threshold (3 en tu caso), el thresold counter y el lockout duration.

    Tu política parece segura, según entiendo el problema es la gestión de desbloqueo de cuentas. En este caso, lo único que se me ocurre es que puedes desde tu Firewall activar algún sensor de DOS para prevenir estos brute foce y denegar el acceso al servicio.

    Saludos.

    Julio Rosua

    PS: Entiendo que la política de la organización son bastante rígidas pero configurar el account lockout duration no supone un riesgo en seguridad, ya ique la cuenta volvería a activarse con las mismas condiciones de lockout en caso de brute force.

    martes, 29 de mayo de 2012 11:06

Todas las respuestas

  • Si lo están haciendo de forma manual (es una persona) poco podrás hacer.... Únicamente podrías ampliar el número de intentos de login antes de bloquear la cuenta, con el fin que se canse de probar contraseñas. 

    Piensa que si lo haces, bajará el nivel de seguridad, así que para compensar, aplica una política de contraseñas más segura (símbolos, mayusculas, minusculas, etc...)


    Saludos,
    Albert

    martes, 29 de mayo de 2012 7:33
  • Gracias Albert. La cuestión es que lo quieren hacer no es entrar en el buzón sino bloquear el usuario.
    martes, 29 de mayo de 2012 7:57
  • Pues lo único que puedes hacer es ponerlo difícil aumentando el límite de logins erróneos... 

    Saludos,
    Albert

    martes, 29 de mayo de 2012 8:05
  • Hola Tarro,

    ¿Has verificado el origen de estas peticiones desde tu Firewall? Sino quieres bajar el nivel de seguridad de bloqueo de cuentas de tu organización trata de averiguar el origen (IP) que está realizando los ataques brute force contra OWA y intenta banear el acceso HTTPS contra owa para ese origen.

    Otra opción es configurar el account lockout duration, de manera que las cuentas se sigan bloquando al ejecutarse 'n' intentos fallidos, pero que estas se desbloqueen automáticamente en unos minutos. Puedes consultar como implementarlo -> http://technet.microsoft.com/en-us/library/cc758659(v=ws.10).aspx

    Saludos.

    Julio Rosua

    martes, 29 de mayo de 2012 8:25
  • Gracias, Julio.

    Efectivamente, he verificado las IP desde donde vienen las peticiónes y nunca se repiten. De he hecho en un mismo día pueden venir de varias IP.

    Respecto a configurar el account lockout duration, por motivos de política de nuestra organización no lo puedo cambiar.

    Saludos.

    martes, 29 de mayo de 2012 10:48
  • Hola Tarro,

    El caso es complicado, la combinación de seguridad ideal para evitar brute force attacks sobre OWA es una combinación de GPO settings a nivel account y Firewall. 

    A nivel GPO tienes el account threshold (3 en tu caso), el thresold counter y el lockout duration.

    Tu política parece segura, según entiendo el problema es la gestión de desbloqueo de cuentas. En este caso, lo único que se me ocurre es que puedes desde tu Firewall activar algún sensor de DOS para prevenir estos brute foce y denegar el acceso al servicio.

    Saludos.

    Julio Rosua

    PS: Entiendo que la política de la organización son bastante rígidas pero configurar el account lockout duration no supone un riesgo en seguridad, ya ique la cuenta volvería a activarse con las mismas condiciones de lockout en caso de brute force.

    martes, 29 de mayo de 2012 11:06