none
Tentivi di accesso non autorizzato RRS feed

  • Domanda

  • Ciao a tutti,

    ho notato da un cliente che da un pò di tempo vengono effettuati tentativi di accesso non autorizzato al loro Server Terminal.

    Spiego meglio, in origine la modalita' di accesso a tale server era solo attraverso vpn FW su FW, per motivi legati ad un problema di performance di connessione (tragica nella sede remota) ho dovuto temporaneamente disattivare tale modalità e permettere accesso diretto tramite RDP. Le policy di sicurezza del server mi permettono di stare "abbastanza tranquillo": user di default (administartor, guest, etc)tutti disattivati, scadenza psw ogni 30 gg con password complesse, blocco account dopo 5 tentativi falliti, accesso interattivo che nega la visualizzazione dell'utlimo user, restrizioni nell'orario per accesso locale e remoto etc....

    Facendo un audit sui tentativi di accesso vedo che il nostro amico hacker non dermode però, volevo sapere a parte ovviamente ritirare su la vpn di autorità, cosa altro potevo eventualmente fare per scoraggiare in modo definitivo il tentativo attuale o futuro di intrusione.

    Tenuto conto che per il momento non posso fare una policy sul fw di accettare le richieste su rdp solo dall'ip pubblico della sede remota in quanto la linea VLL di un gestore locale per il momento non prevede IP Pubblico statico.

    martedì 5 novembre 2013 15:38

Risposte

  • IT AM ha spiegato il 05/11/2013 :

    Ciao a tutti,

    ho notato da un cliente che da un pò di tempo vengono effettuati tentativi di accesso non autorizzato al loro Server Terminal.

    Spiego meglio, in origine la modalita' di accesso a tale server era solo attraverso vpn FW su FW, per motivi legati ad un problema di performance di connessione (tragica nella sede remota) ho dovuto temporaneamente disattivare tale modalità e permettere accesso diretto tramite RDP.

    Hai preso in considerazione la VPN software gestita direttamente da un server? Da un mio cliente che aveva analoghi problemi di performance con una VPN hardware, ho risolto in quel modo

    • Contrassegnato come risposta Anca Popa martedì 12 novembre 2013 11:12
    martedì 5 novembre 2013 16:54
  • No ma sniffando le porte che rispondono non ci vorrà molto a trovare quella giusta...cmq anche questo fa!!
    Scansionare tutte le porte e capire quale risponde effettivamente all'RDP non è poi così rapido inoltre alcuni router/firewall hanno funzioni per impedire (o almeno rendere meno semplice) l'operazione. Senza contare che solitamente questi attacchi provengono da BOT automatici che puntano direttamente alla 3389, quindi tramite cambio di porta già tagli fuori un bel po' di minacce.

    Poi ovviamente l'implementazione di una VPN rimane la strada consigliata.

    martedì 5 novembre 2013 22:46
    Moderatore

Tutte le risposte

  • Io direi, se non l'hai ancora fatto, di cambiare porta per la connessione RDP con una molto alta.
    martedì 5 novembre 2013 16:37
    Moderatore
  • IT AM ha spiegato il 05/11/2013 :

    Ciao a tutti,

    ho notato da un cliente che da un pò di tempo vengono effettuati tentativi di accesso non autorizzato al loro Server Terminal.

    Spiego meglio, in origine la modalita' di accesso a tale server era solo attraverso vpn FW su FW, per motivi legati ad un problema di performance di connessione (tragica nella sede remota) ho dovuto temporaneamente disattivare tale modalità e permettere accesso diretto tramite RDP.

    Hai preso in considerazione la VPN software gestita direttamente da un server? Da un mio cliente che aveva analoghi problemi di performance con una VPN hardware, ho risolto in quel modo

    • Contrassegnato come risposta Anca Popa martedì 12 novembre 2013 11:12
    martedì 5 novembre 2013 16:54
  • No ma sniffando le porte che rispondono non ci vorrà molto a trovare quella giusta...cmq anche questo fa!!
    martedì 5 novembre 2013 17:02
  • Potrei testare...non capisco il perchè dovrebbe essere più snella ma tentare non costa nulla..
    martedì 5 novembre 2013 17:03
  • No ma sniffando le porte che rispondono non ci vorrà molto a trovare quella giusta...cmq anche questo fa!!
    Scansionare tutte le porte e capire quale risponde effettivamente all'RDP non è poi così rapido inoltre alcuni router/firewall hanno funzioni per impedire (o almeno rendere meno semplice) l'operazione. Senza contare che solitamente questi attacchi provengono da BOT automatici che puntano direttamente alla 3389, quindi tramite cambio di porta già tagli fuori un bel po' di minacce.

    Poi ovviamente l'implementazione di una VPN rimane la strada consigliata.

    martedì 5 novembre 2013 22:46
    Moderatore
  • IT AM ha usato la sua tastiera per scrivere :

    Potrei testare...non capisco il perchè dovrebbe essere più snella ma tentare non costa nulla..

    Sul perché non so, ma sulla mia pelle ha funzionato così. Magari era un problema di configurazione dei firewall o magari del tipo di linee utilizzate, fatto sta che con quel collegamento non si riusciva a lavorare tanto era lento, mentre con una VPN software lavorano tranquillamente (entro i limiti tipici di una ADSL)

    mercoledì 6 novembre 2013 13:14
  • grazie a tutti e due
    mercoledì 6 novembre 2013 16:25
  • Ciao IT AM,

    Evidenzio i consigli qui sopra che potrebbero tornare validi per molti scenari simili.

    Se trovi un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri membri che seguono il forum.

    Grazie,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    martedì 12 novembre 2013 11:12