none
Bloccare un brute force su win2k3 R2 STD RRS feed

  • Domanda

  • In FTP ed HTTP ho provveduto attraverso le limitazioni IP ma in RDS non trovo il punto in cui agire per fermare un continuo tentatvo di brute forse dal 153.19.103.178 polacco. Pensavo a qualcosa sul firewall di windows - ma chiedo consigli!


    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    sabato 27 febbraio 2010 10:46

Risposte

  • http://support.microsoft.com/kb/187623 per cambiare la porta.

    Se vuoi gestire il blocco del traffico direttamente sulla macchina credo che l'unica soluzione sia quella di installare un firewall a livello software che gestisce le black list a livello ip, però la soluzione migliore è quella di lavorare sulle clessi ip direttamente sull'appliance di rete.
    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    • Contrassegnato come risposta Riccardo Fritz domenica 28 febbraio 2010 11:28
    sabato 27 febbraio 2010 16:43
  • come indica Pepacci la porta la puoi cabiare dal registro, ma un bel firewall hardware, ovvero l'appliance di rete, ti permette di proteggere tutta le rete perimetrale lavorando sugli ip e sui protocolli. Inoltre, svolgendo solo quella funzione con un hardaware meno complesso di un server e un so minimalista, anche i rischi di interruzione e blocco sono minori.
    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    sabato 27 febbraio 2010 16:49
  • Grazie a tutti per i consigli. Tuttavia leggo che nel mio attuale schema devo continuare a leggere questa fastidiosa routine di brute force (sui soliti disattivati admin, administrator, in tutte le lingue, ecc. ecc.) che cozzano sempre e comunque sui criteri di protezione.
    Darò quindi all' idc indicazioni di chiusura di quel range di IP. Peccato però perchè, allo stesso modo in cui è possibile farlo su IIS sui suoi protocolli,  ritenevo esistesse l modo di farlo anche per i servizi aperti alla wan.

    Un' ultima domnda + x curiosità: nei criteri di protezione IP su computer locale non esiste la possibilità di creare una regola per una situazione simile ?

    In win2k8 hanno inserito qualcosa per questo tipo di protezione contro i brute force di RDP?

    un'altra possibilità che hai in win2k3 è questa
    http://support.microsoft.com/kb/816521
    sempre che tutti i requisiti necessari siano soddisfatti
    visto che l'rdp nei s.o. server si basa proprio sul terminal server.

    meglio ancora sarebbe configurare il tuo server
    come l'endpoint di una vpn l2tp+ipsec al quale potresti
    abbinare l'autenticazione mediante certificato digitale
    facendoti autenticare da IAS ma dovresti mettere in piedi
    parecchia infrastruttura compresa la tua Certification Authority
    che poi andrebbe mantenuta insieme a tutto il resto.

    non sto a dirti che nel mio ambiente di test a casa,
    avendo un isa 2k6 davanti a tutto, la reazione ad attacchi brute force
    è immediata perchè isa chiude automaticamente la connessione
    quando provengono troppe richieste dal medesimo ip
    in un intervallo ristretto di tempo.

    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    domenica 28 febbraio 2010 07:19
    Moderatore

Tutte le risposte

  • Perchè parli di firewall di windows? Il tuo terminal server è esposto direttamente su internet? In questo caso l'uso di firewall ci garantisce di bloccare ip o classi di ip alle quali negare l'accesso.
    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    sabato 27 febbraio 2010 11:56
  • effettivamente dovresti descrivere più dettagliatamente la topologia della rete. Non c'è nessun firewall hw tra il server terminal e internet? L'ip dal quale tentano di introdursi ha sempre lo stesso ip? In questo caso perche non droppi  semplicemente  tutti i pacchetti da quel ip su tutti i protocolli (porte)? se il firewall è quello del server rischi comunque dei rallentamenti sui servizi di rete o delle vere e proprie interruzioni...
    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    sabato 27 febbraio 2010 15:46
  • Grazie Peppacci della tua risposta.

    > Perchè parli di firewall di windows?

    Perchè ho Windows Firewall attivato.

    > Il tuo terminal server è esposto direttamente su internet?

    No; l' idc mi fornisce un filtro cisco che agisce sulle porte. Evidentemente la 3389 è aperta senza un ambito di IP. Siccome ti fanno pagare anche l'aria che respiri, prima di scomodarli pensavo ad un ambito impostato sulla porta nel sistema operativo.

    > firewall ci garantisce di bloccare ip o classi di ip

    Se intendi quello integrato non riesco a trovare il punto in cui impostare tali ambiti. Mentre in IIS è chiaro ed ho potuto inserire tutta la famiglia di questa fonte, in RDS e Windows Firewall non trovo come impostarlo. Non nelle eccezioni ovviamente; tanto meno trovo questa voce nelle impostazioni delle LAN.

    Vorrei seguire direttamente sulla macchina queste impostazioni perchè sono sicuramente dinamiche e non posso ogni volta fare comunicazioni al idc. 
    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    sabato 27 febbraio 2010 15:48
  • Grazie Adriano dell' attenzione!

    > L'ip dal quale tentano di introdursi ha sempre lo stesso ip?

    Si; verificato sui log IIS e identificata la famiglia. Già inviata la comunicazione d'uopo e ora sto valutando altri passi più ufficiali. Ho bloccato (IIS ftp e http) tutti gli IP ascritti a questa facoltà polacca.

    > il firewall è quello del server rischi comunque dei rallentamenti

    Ecco; questa è un'indicazione importante. Francamente Wndows Firewall non mi ha mai dato problemi ma è sempre utile sentire esperienze pratiche altrui.
    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    sabato 27 febbraio 2010 15:54
  • ma se è RDP in articolare che ti preoccupa, come hai bloccato gli altri servizi, non capisco quale sia il problema a bloccare la 3389?
    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    sabato 27 febbraio 2010 15:59
  •  > non capisco quale sia il problema a bloccare la 3389?

    RDP può essere gestito anche da altre porte? Si può impostare? Perchè se chiudo la 3389 poi io come ci arrivo alla macchina? L 'idc mica c'è l'ho in sede...


    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    sabato 27 febbraio 2010 16:05
  • http://support.microsoft.com/kb/187623 per cambiare la porta.

    Se vuoi gestire il blocco del traffico direttamente sulla macchina credo che l'unica soluzione sia quella di installare un firewall a livello software che gestisce le black list a livello ip, però la soluzione migliore è quella di lavorare sulle clessi ip direttamente sull'appliance di rete.
    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    • Contrassegnato come risposta Riccardo Fritz domenica 28 febbraio 2010 11:28
    sabato 27 febbraio 2010 16:43
  • come indica Pepacci la porta la puoi cabiare dal registro, ma un bel firewall hardware, ovvero l'appliance di rete, ti permette di proteggere tutta le rete perimetrale lavorando sugli ip e sui protocolli. Inoltre, svolgendo solo quella funzione con un hardaware meno complesso di un server e un so minimalista, anche i rischi di interruzione e blocco sono minori.
    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    sabato 27 febbraio 2010 16:49
  •  > non capisco quale sia il problema a bloccare la 3389?

    RDP può essere gestito anche da altre porte? Si può impostare? Perchè se chiudo la 3389 poi io come ci arrivo alla macchina? L 'idc mica c'è l'ho in sede...


    Ciao Fritz, certamente i consigli di Peppacci e Adriano sono ottimi però io ti consiglierei di chiedere al tuo hosting provider di blacklistare quell'ip sul suo firewall perchè con i soli strumenti del sistema operativo puoi far poco.
    Se il server tu ce l'avessi in casa ti consiglierei di metterti davanti un bel Forefront TMG.
    Mettere l'rdp in ascolto sul altre porte è solo un paliativo per niubbi.
    Ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    sabato 27 febbraio 2010 18:02
    Moderatore
  • Grazie a tutti per i consigli. Tuttavia leggo che nel mio attuale schema devo continuare a leggere questa fastidiosa routine di brute force (sui soliti disattivati admin, administrator, in tutte le lingue, ecc. ecc.) che cozzano sempre e comunque sui criteri di protezione.
    Darò quindi all' idc indicazioni di chiusura di quel range di IP. Peccato però perchè, allo stesso modo in cui è possibile farlo su IIS sui suoi protocolli,  ritenevo esistesse l modo di farlo anche per i servizi aperti alla wan.

    Un' ultima domnda + x curiosità: nei criteri di protezione IP su computer locale non esiste la possibilità di creare una regola per una situazione simile ?

    In win2k8 hanno inserito qualcosa per questo tipo di protezione contro i brute force di RDP?
    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    sabato 27 febbraio 2010 19:40
  • quando dici "servizi aperti alla WAN" intendi che sul server in questione è attivo il servizio di routing e accesso remoto e che il server ha più schede di rete, una sulla wan e un altra verso una LAN?
    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    sabato 27 febbraio 2010 20:29
  • > il servizio di routing e accesso remoto e che il server ha più schede di rete

    Esatto. ogni macchina ha 2 schede di cui una (IP / LAN2) utilizzata al pubblico ed una (IP diverso su LAN1) per il ns. accesso RDP. Nelle impostazioni avanzate di windows firewall ho già tolto il flag relativo RDP e telnet cui possono accedere gli utenti di internet. Ma evidentemente (essendo i miei IP dello steso range) hanno trovato l'IP alternativo (oppure questa impostazione non funziona...)

    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    domenica 28 febbraio 2010 06:52
  • Grazie a tutti per i consigli. Tuttavia leggo che nel mio attuale schema devo continuare a leggere questa fastidiosa routine di brute force (sui soliti disattivati admin, administrator, in tutte le lingue, ecc. ecc.) che cozzano sempre e comunque sui criteri di protezione.
    Darò quindi all' idc indicazioni di chiusura di quel range di IP. Peccato però perchè, allo stesso modo in cui è possibile farlo su IIS sui suoi protocolli,  ritenevo esistesse l modo di farlo anche per i servizi aperti alla wan.

    Un' ultima domnda + x curiosità: nei criteri di protezione IP su computer locale non esiste la possibilità di creare una regola per una situazione simile ?

    In win2k8 hanno inserito qualcosa per questo tipo di protezione contro i brute force di RDP?

    un'altra possibilità che hai in win2k3 è questa
    http://support.microsoft.com/kb/816521
    sempre che tutti i requisiti necessari siano soddisfatti
    visto che l'rdp nei s.o. server si basa proprio sul terminal server.

    meglio ancora sarebbe configurare il tuo server
    come l'endpoint di una vpn l2tp+ipsec al quale potresti
    abbinare l'autenticazione mediante certificato digitale
    facendoti autenticare da IAS ma dovresti mettere in piedi
    parecchia infrastruttura compresa la tua Certification Authority
    che poi andrebbe mantenuta insieme a tutto il resto.

    non sto a dirti che nel mio ambiente di test a casa,
    avendo un isa 2k6 davanti a tutto, la reazione ad attacchi brute force
    è immediata perchè isa chiude automaticamente la connessione
    quando provengono troppe richieste dal medesimo ip
    in un intervallo ristretto di tempo.

    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    domenica 28 febbraio 2010 07:19
    Moderatore
  • > non sto a dirti che nel mio ambiente di test a casa,...[cut]

    Me ne avevi già parlato ma in produzione potrò anche farlo quando i costi della banda a casa saranno cristiani come in altri paesi civili. Ma siamo in Italia. E non aggiungo altro.....

    > isa chiude automaticamente la connessione
    > quando provengono troppe richieste dal medesimo ip

    Stiamo parlando si una funzione abbastanza banale e mi meraviglia che win2k8 non la offra nei criteri di protezione. Per carità,  si tratta più di un fastidioso *odore* vista la statistica matematica ed i paletti di sicurezza e blocco utenti già attivati. Vedrò di trattare con l' idc - visto che sto ritrattando il contratto. Farò chiudere l' IP manualmente da loro.

    Grazie a tutti x le risposte.


    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    domenica 28 febbraio 2010 11:27
  • Non capisco, comunque, perchè non prendi in considerazione l'acquisto di un firewall hardware, considerato i costi ormai contenuti per un apprecchio entrylevel.

    Ma il router che vi da la connettività non è gestito da voi? é di proprietà, e quindi gestito, dall'isp?
    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    domenica 28 febbraio 2010 11:32
  • Fritz ha tutte le macchine dentro una server farm.
    ora ti è più chiaro ?
    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    domenica 28 febbraio 2010 13:49
    Moderatore
  • Scusate ancora una domandina...

    Ho anche delimitato l'ambito di attività, in windows firewall, dell' eccezione RDP (desktop remoto) indcando i soli due IP da cui accedo.

    E' normale che nei log di sistema di visualizzazione eventi mi siano ancora registrati i tentativi (inutili) di questi studenti del Academic Computer Centre di Gdansk in Polonia ?

    Fritz [MVP Expression Web] http://www.msexpression.it http://www.riolab.org http://www.msoutlook.it
    martedì 2 marzo 2010 15:48