locked
TMG 2010 - Se protéger d'une attaque de type bruteforce RRS feed

  • Question

  • Bonjour,

    y a t-il une possibilité de se protéger des attaques de type bruteforce avec Forefront TMG ? Je pense particulièrement aux protocoles SMTP, POP et IMAP ...

    J'ai vu qu'il existe un filtre de détection d'intrusion pour POP mais le filtre ne semble pas bloquer de telles attaques.

    Merci pour votre retour,

    Vincent RIVOIRE

     

    dimanche 2 janvier 2011 11:01

Réponses

  • Bonjour,

    Pour les opérations non web comme tu cites (SMTP, ...) un filtre applicatif est utilisé. Ce filtre va en fait permettre de s'assurer que toutes les opérations (communications) échangées entre le client et le serveur sont bien conformes. Par exemple, une commande HELP dans le protocole SMTP peut-être refusé car l'on considère que cela devienne une action manuelle et non un échange de mail.

    Ensuite, il y d'autre contrôles de conformité protocolaire en fonction du filtre souhaité. Par exemple, s'assurer qu'il n'y ait pas une tentative de Dos en voulant échanger un trop gros fort volume de donnée sur une commande protocolaire qui par habitude n'en nécéssite pas tant. ISA rejetera donc si la taille est dépassé.

    Tout ceci dépend donc des filtres utilisés et les options peuvent être différents, du HTTP, DNS, SMTP, ... Les plus riches concerneront HTTP, protocole très largement utilisé et très faillible.

    Pour finir, ISA permet de détecter si de trop nombreuses tentatives en échec, ou trop de connexion à la minute, .. depuis une source unique et peut bannir temporairement cette source. Si effectivement le bruteforce est de manière trop brutale (trop de connexions) alorson peut considérer que cela peut bloquer ce type d'attaque. Maintenant, si le bruteforce est utilisée de manière progressive, donc cela ne risque pas d'être détectée. Maintenant, si le mot de passe est assez complexe, il faudra à la personne malveillante trop d'années pour arriver à ses fins.

    Et si tu souhaites vraiment protéger une application web (seulement http/https donc) et faire des actions personalisées concernant des détections, il faudra utiliser Microsoft Forefront UAG plutôt.

    Pour finir, j'aais rédigé un article pour permettre de bannir automatiquement les petits hackers afin de bannir leurs IP dans ISA avec un groupe d'ordinateurs dynamique : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=59

     Bonne journée,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    lundi 3 janvier 2011 17:46

Toutes les réponses

  • Bonjour,

    Pour les opérations non web comme tu cites (SMTP, ...) un filtre applicatif est utilisé. Ce filtre va en fait permettre de s'assurer que toutes les opérations (communications) échangées entre le client et le serveur sont bien conformes. Par exemple, une commande HELP dans le protocole SMTP peut-être refusé car l'on considère que cela devienne une action manuelle et non un échange de mail.

    Ensuite, il y d'autre contrôles de conformité protocolaire en fonction du filtre souhaité. Par exemple, s'assurer qu'il n'y ait pas une tentative de Dos en voulant échanger un trop gros fort volume de donnée sur une commande protocolaire qui par habitude n'en nécéssite pas tant. ISA rejetera donc si la taille est dépassé.

    Tout ceci dépend donc des filtres utilisés et les options peuvent être différents, du HTTP, DNS, SMTP, ... Les plus riches concerneront HTTP, protocole très largement utilisé et très faillible.

    Pour finir, ISA permet de détecter si de trop nombreuses tentatives en échec, ou trop de connexion à la minute, .. depuis une source unique et peut bannir temporairement cette source. Si effectivement le bruteforce est de manière trop brutale (trop de connexions) alorson peut considérer que cela peut bloquer ce type d'attaque. Maintenant, si le bruteforce est utilisée de manière progressive, donc cela ne risque pas d'être détectée. Maintenant, si le mot de passe est assez complexe, il faudra à la personne malveillante trop d'années pour arriver à ses fins.

    Et si tu souhaites vraiment protéger une application web (seulement http/https donc) et faire des actions personalisées concernant des détections, il faudra utiliser Microsoft Forefront UAG plutôt.

    Pour finir, j'aais rédigé un article pour permettre de bannir automatiquement les petits hackers afin de bannir leurs IP dans ISA avec un groupe d'ordinateurs dynamique : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=59

     Bonne journée,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    lundi 3 janvier 2011 17:46
  • Bonjour Vincent,

    Merci de nous tenir au courant,

    Cordialement,

    Roxana



    Roxana PANAIT, MSFT  Follow TechNetFr on Twitter 

    • Votez l’article qui vous est utile ou postez un pour participer au concours : Appel à la contribution

    •Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    jeudi 6 janvier 2011 16:08
  • Bonjour,

    j'ai effectivement déjà mis en place le filtre applicatif SMTP qui permet déjà de faire le tri et soulage donc mon antispam.

    Concernant le POP et le IMAP, j'ai réalisé un petit test avec un outil tels que brutus, TMG ne détecte pas ma tentative de bruteforce, c'est ce qui m'inquiète en fait ... Dernièrement, l'un de mes clients s'est fait bruteforcé son serveur FTP (il n'y avait pas de stratégie complexe de mot de passe : pas d'historique, pas de complexité, longueur minimale courte ...).

    Je vais essayé de jouer avec les réglages et seuils de flooding.

    En tout cas, merci pour vos retours,

    Vincent RIVOIRE

     

    dimanche 9 janvier 2011 09:34