none
BruteForce атака на сервер по RDP RRS feed

  • Вопрос

  • Не нашёл подходящей ветки. Решил написать.

    Сервер с Windows Server 2008R2 с запущенной службой Удалённых рабочих столов подключен к Интернет через локальный маршрутизатор. На маршрутизаторе единственный открытый порт 3389, переадресованный на тот самый Сервер Удалённых рабочих столов. Контроллер домена на другом сервере. Без доступа к Интернет. С такими настройками сеть стоит с 2009 года.

    Атаки по RDP начались сразу после появления сервера в Интернет. Интересно стало, кто пытается подключиться к серверу. Включил аудит отказов на подключение. Каждый день по 5-6 атак с разных IP-адресов. Ну, что делать, ребятишки развлекаются. Года 2 смотрел на это. В худшем случае атакующий делал 1000-2000 попыток подключения, и отваливался. Если начиналась более серьёзная атака с попытками подбора 50-60 раз в секунду, то журнал регистрации переполнялся через 2-3 часа атаки. Увеличивать размер журнала я не стал. Ну, не за 3 часа его заполнят, а за 30. Мне-то чем поможет?  Я перестал смотреть каждый день. Но иногда проверял, что там. Пока нормально. Но в последнее время атаки непрерывны. Иногда серьёзно нагружают сервер.

    Пароль соответствует требованиям Windows Server 2008 R2. Но возник вопрос. Почему ОС не блокирует многочисленные попытки подключения по RDP с неправильным именем или паролем? Попытки следуют, иногда, более 100 раз в секунду.

    При таком раскладе, просто вопрос времени когда пароль будет взломан, через 100 лет или с 1001 попытки. А если кому-то повезёт и он даже до миллиона попыток не дойдёт и получит пароль?

    Неправильное подключение с учётной записью домена блокируется быстро. Почему также не блокируется подключение с учётной записью локального Администратора?

    • Перемещено Alexander RusinovModerator 8 февраля 2017 г. 18:07 Более подходящий раздел форума
    8 февраля 2017 г. 17:50

Ответы

  • Привет.

    Еще более бюджетное решение- блокировать адреса злоумышленников встроенным брандмауэром.

    Не самое эффектиное средство, но всеже лучше чем совсем ничего.

    https://social.technet.microsoft.com/Forums/windows/en-US/f950686e-e3f8-4cf2-b8ec-2685c1ed7a77/auto-blocking-attacking-ip-address?forum=winserversecurity

    https://github.com/timan1802/rdp_attacker_block

    Но решение Антона правильное- Мне кажется вы довольно легко сможете выяснить какие адреса(подсети) Вам необходимы и просто разрешить подключения только из нужного диапазона. 

    Что касается Вашего последнего вопроса, то это поведение системы по умолчанию. Никто же не делает автомобилей, у которых при неправильном повороте ключа все блокируется, глохнет и не едет. Администратор- тот же водитель, он царь и государь ТС, и его блокировать просто глупо.

    Если чуть отступить от темы,то в 17 году опираться только на пароль уже не совсем правильно. Сейчас есть провайдеры, как скажем duo, бесплатно предоставляющие двухфакторную аутентификацию для 10 пользователей. Уже давно удаленный доступ администратора к системам требует большей защиты, чем пароль. Можно прикрутить свой ЦС, раздать пользователям токены или сертификаты, пускать помимо пароля еще и по ним. И это все годами есть в продукте, начинайте использовать эти возможности. Не паролем единым ,как говорится. 

    8 февраля 2017 г. 19:52
  • Добрый день.

    Не раз идентичная тема поднималась в рамках обсуждений форумов TechNet Выход внедрение IPS (Cisco или Аналоги) или Закрыть порт 3389 и поднять VPN сервер, допустим на маршрутизаторе с авторизацией Radius (NSP в реализации MSFT) в сети и разрешить подключения из вне только через VPN тунель, Это самое бюджетное решение


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Reviews, Twitter.

    8 февраля 2017 г. 18:06
    Модератор

Все ответы

  • Добрый день.

    Не раз идентичная тема поднималась в рамках обсуждений форумов TechNet Выход внедрение IPS (Cisco или Аналоги) или Закрыть порт 3389 и поднять VPN сервер, допустим на маршрутизаторе с авторизацией Radius (NSP в реализации MSFT) в сети и разрешить подключения из вне только через VPN тунель, Это самое бюджетное решение


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Reviews, Twitter.

    8 февраля 2017 г. 18:06
    Модератор
  • Привет.

    Еще более бюджетное решение- блокировать адреса злоумышленников встроенным брандмауэром.

    Не самое эффектиное средство, но всеже лучше чем совсем ничего.

    https://social.technet.microsoft.com/Forums/windows/en-US/f950686e-e3f8-4cf2-b8ec-2685c1ed7a77/auto-blocking-attacking-ip-address?forum=winserversecurity

    https://github.com/timan1802/rdp_attacker_block

    Но решение Антона правильное- Мне кажется вы довольно легко сможете выяснить какие адреса(подсети) Вам необходимы и просто разрешить подключения только из нужного диапазона. 

    Что касается Вашего последнего вопроса, то это поведение системы по умолчанию. Никто же не делает автомобилей, у которых при неправильном повороте ключа все блокируется, глохнет и не едет. Администратор- тот же водитель, он царь и государь ТС, и его блокировать просто глупо.

    Если чуть отступить от темы,то в 17 году опираться только на пароль уже не совсем правильно. Сейчас есть провайдеры, как скажем duo, бесплатно предоставляющие двухфакторную аутентификацию для 10 пользователей. Уже давно удаленный доступ администратора к системам требует большей защиты, чем пароль. Можно прикрутить свой ЦС, раздать пользователям токены или сертификаты, пускать помимо пароля еще и по ним. И это все годами есть в продукте, начинайте использовать эти возможности. Не паролем единым ,как говорится. 

    8 февраля 2017 г. 19:52
  • Спасибо за советы.

    CISCO не по карману, а поменять настройки входа попробую.

    Помогите ещё источник ошибки найти. На сервере несколько раз в минуту иногда до 10 раз в секунду фиксируется ошибка.

    Имя журнала:   Security
    Источник:      Microsoft-Windows-Security-Auditing
    Дата:          13.02.2017 10:29:17
    Код события:   4625
    Категория задачи:Вход в систему
    Уровень:       Сведения
    Ключевые слова:Аудит отказа
    Пользователь:  Н/Д
    Компьютер:     Server-1C.******.ru
    Описание:
    Учетной записи не удалось выполнить вход в систему.

    Субъект:
     ИД безопасности:  NULL SID
     Имя учетной записи:  -
     Домен учетной записи:  -
     Код входа:  0x0

    Тип входа:   3

    Учетная запись, которой не удалось выполнить вход:
     ИД безопасности:  NULL SID
     Имя учетной записи:  USER3
     Домен учетной записи:  

    Сведения об ошибке:
     Причина ошибки:  Неизвестное имя пользователя или неверный пароль.
     Состояние:   0xc000006d
     Подсостояние:  0xc0000064

    Сведения о процессе:
     Идентификатор процесса вызывающей стороны: 0x0
     Имя процесса вызывающей стороны: -

    Сведения о сети:
     Имя рабочей станции: 
     Сетевой адрес источника: -
     Порт источника:  -

    Сведения о проверке подлинности:
     Процесс входа:  NtLmSsp
     Пакет проверки подлинности: NTLM
     Промежуточные службы: -
     Имя пакета (только NTLM): -
     Длина ключа:  0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
     - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
     - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
     - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    Где искать источник во внешней сети или внутренней?

    13 февраля 2017 г. 7:59
  • Добрый День.

    Уточните событие с пк Server-1C
    Компьютер:     Server-1C.******.ru

    Имя учетной записи под которой пытаются осуществить вход в систему  USER3.

    Странно что порт не указан, ip адрес или имя атакующего пк


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Reviews, Twitter.


    13 февраля 2017 г. 8:07
    Модератор
  • Да, имя с которым пытаются войти в данном случае USER3.

    Но в разных попытках имя входа меняется. Имён с которыми пытаются войти у меня в сети никогда не было. За исключением стандартного - Администратор.

    Подобные попытки подключения идут и днём и ночью. Я даже не могу определить внутренний это запрос или внешний.

    13 февраля 2017 г. 8:48
  • Обычное дело для скрипта- ему все равно когда работать и имена он берет из файлика, или генерирует.
    13 февраля 2017 г. 8:51
  • Рядовым пользователям запуск скриптов запрещён доменными политиками. У Администраторов и локального и доменного я проверил всё. Нет активных и неизвестных процессов.

    Если это внешний запрос, то почему нет адреса откуда он пришёл? Нет имени компа или домена?

    13 февраля 2017 г. 10:32
  • Рядовым пользователям запуск скриптов запрещён доменными политиками. У Администраторов и локального и доменного я проверил всё. Нет активных и неизвестных процессов.

    А как это влияет на недоменную машину скажем с backtrack и обыкновенным подборщиком hydra?

    Мы отклоняемся мне кажется от темы, был вопрос как заблокировать, а теперь как искать, так?

    Вы же сами написали, что открыли доспуп через Интернет и пошли атаки. Если есть железная уверенность, что в локальной сети нет нехорошего, то атака идет из интернета.

    Вы меры примите по ее защите лучше, чем ее искать. Глядишь и надобность отпадет.

    13 февраля 2017 г. 10:55
  • Спасибо за советы.

    CISCO не по карману, а поменять настройки входа попробую.

    Помогите ещё источник ошибки найти. На сервере несколько раз в минуту иногда до 10 раз в секунду фиксируется ошибка.

    Имя журнала:   Security
    Источник:      Microsoft-Windows-Security-Auditing
    Дата:          13.02.2017 10:29:17
    Код события:   4625
    Категория задачи:Вход в систему
    Уровень:       Сведения
    Ключевые слова:Аудит отказа
    Пользователь:  Н/Д
    Компьютер:     Server-1C.******.ru
    Описание:
    Учетной записи не удалось выполнить вход в систему.

    Субъект:
     ИД безопасности:  NULL SID
     Имя учетной записи:  -
     Домен учетной записи:  -
     Код входа:  0x0

    Тип входа:   3

    Учетная запись, которой не удалось выполнить вход:
     ИД безопасности:  NULL SID
     Имя учетной записи:  USER3
     Домен учетной записи:  

    Сведения об ошибке:
     Причина ошибки:  Неизвестное имя пользователя или неверный пароль.
     Состояние:   0xc000006d
     Подсостояние:  0xc0000064

    Сведения о процессе:
     Идентификатор процесса вызывающей стороны: 0x0
     Имя процесса вызывающей стороны: -

    Сведения о сети:
     Имя рабочей станции: 
     Сетевой адрес источника: -
     Порт источника:  -

    Сведения о проверке подлинности:
     Процесс входа:  NtLmSsp
     Пакет проверки подлинности: NTLM
     Промежуточные службы: -
     Имя пакета (только NTLM): -
     Длина ключа:  0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
     - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
     - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
     - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    Где искать источник во внешней сети или внутренней?

    Добрый День.

    Если на Cisco денег нет или жалко и нет аппаратного сетевого экрана, Раскошельтесь на Микротик и будет вам счастье.

    Либо примените решение рекомендуемое Дмитрием


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Reviews, Twitter.



    13 февраля 2017 г. 11:12
    Модератор
  • Когда кому-то станет очень больно:(((

    Он снова поднимет подобную тему. А эту закрывайте.

    13 февраля 2017 г. 14:46
  • Когда кому-то станет очень больно:(((

    Он снова поднимет подобную тему. А эту закрывайте.

    Добрый День.

    Не в обиду Автору будет сказано:

    Доведите до руководства данную информацию о данном инциденте в форме служебной записки с вариантами решения. Вы тем самым обезопасите себя от как минимум увольнения, а то в следующий раз Автором следующей темы в продолжение данной будет кто то другой.


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Reviews, Twitter.

    13 февраля 2017 г. 15:44
    Модератор