Ataques RDP de fuerza bruta a pesar de tener RDP restringido a 1 IP - ¿CÓMO?

4

Limité las reglas entrantes del Firewall para RDP en Ámbito a 1 Dirección IP remota (la sección Dirección IP local está vacía). Esto se hizo tanto para Public & Reglas de dominio privado.

Esta acción restringió el acceso RDP solo a mi IP. Confirmé esto al intentar acceder desde otra IP sin éxito, solo puedo acceder a la máquina desde esa IP estática.

Sin embargo, todavía obtengo cientos de intentos de RDP de fuerza bruta cada día. En la sección Registro de eventos / Seguridad, veo constantemente otros intentos de RDP (fallidos) de otras direcciones IP (que parecen ser externas).

La lista de registros "Nombre de usuario desconocido o contraseña incorrecta", por lo que me dice que han pasado el firewall.

También cambié el puerto RDP a un número de puerto personalizado, pero eso no ha ayudado, supongo que estoy siendo escaneado en busca de puertos abiertos.

¿Cómo puede suceder esto cuando ni siquiera puedo iniciar sesión desde una IP diferente?

¿Podría ser que los atacantes estén eludiendo la regla del Firewall de Windows?

¿Hay algo más que deba deshabilitar de los servicios de Windows?

También, ¿qué más se puede hacer para prevenir esto?

Aprecio cualquier ayuda aquí, ya que no estoy seguro de cómo detener esto, ¡gracias!

    
pregunta AlexVPerl 22.07.2016 - 21:56
fuente

2 respuestas

2

Esto puede suceder a menudo con los controladores de dominio.

¿Tienes un controlador de dominio? Si es así, en el DC, habilite el archivo de depuración netlogon.log (a través de solicitud de cmd elevado ):

nltest /DBFlag:2080FFFF

Ahora, ve a %WINDIR%\debug\netlogon.log y ábrelo. Podrá ver a los usuarios que intentan iniciar sesión y a qué máquinas están intentando iniciar sesión. Puede resultar que tenga otros sistemas en la red que intenten convertir en RDP en esos sistemas utilizando credenciales de Active Directory.

Debería poder rastrear el servidor infractor con los datos anteriores. Mi conjetura es que algo conectado al DC está expuesto a 0.0.0.0/0:3389 , como un servidor de AWS que remota a su red mediante una VPN. Es posible que desee comprobar sus grupos de seguridad de AWS.

Realmente podría ser cualquier cosa, sin embargo. Querrá encontrar este servidor antes de que se convierta en un punto de pivote.

Habiendo dicho eso, ninguna de las sugerencias de Wireshark en este hilo detectará este comportamiento a menos que estés en el sistema en el que se está realizando una RDP, lo que probablemente no sea el DC. Tendrá que ir directamente a los registros de DC y descubrir por sí mismo dónde está.

Para deshabilitar la depuración de netlogon.log más tarde (a través del símbolo del sistema elevado):

nltest /DBFlag:0x0 
    
respondido por el Mark Buffalo 31.08.2017 - 03:43
fuente
0

Su cortafuegos está funcionando. No hay nada de que quejarse.

Solo permite que la IP, los demás se bloqueen y se registren para que sepa que alguien más está tratando de llegar a su RDP.

    
respondido por el yzT 22.07.2016 - 22:29
fuente

Lea otras preguntas en las etiquetas