Win Server 2008 RDP Attack

1

En una de mis máquinas ejecuto el servidor Win 2008 R2. Se ha actualizado recientemente. Mi sesión RDP está limitada solo a mi dirección IP y el firewall está activado. Aunque el servidor principal de RDP 3389 está bloqueado por un firewall (IP restringido), estoy obteniendo miles de intentos para ingresar en el rango de diferentes puertos de 1012 a 63000. Adjunté la instantánea del problema. Obtengo miles de cada día, así que mi archivo de registro se llena muy rápido.

No soy un experto en servidores ganadores y todo lo que puedo hacer en este momento es enviar la dirección IP del culpable a las IP bloqueadas en mi firewall. Pero la IP cambia después de 500 intentos regularmente. Mi pregunta es, ¿cómo puedo evitar esto para no tener que monitorear este servidor todos los días? Cualquier ayuda apreciada.

A continuación se muestra la copia de los detalles del evento, uno de los muchos intentos de pirateo:

EventData 

  SubjectUserSid S-1-5-18 
  SubjectUserName MyServer12$ 
  SubjectDomainName WORKGROUP 
  SubjectLogonId 0x3e7 
  TargetUserSid S-1-0-0 
  TargetUserName administrator 
  TargetDomainName MyServer12 
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc000006a 
  LogonType 10 
  LogonProcessName User32  
  AuthenticationPackageName Negotiate 
  WorkstationName MyServer12 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x3114 
  ProcessName C:\Windows\System32\winlogon.exe 
  IpAddress 27.151.120.145 
  IpPort 1214 

    
pregunta Chris Dale 13.07.2012 - 23:20
fuente

3 respuestas

4

Hay algunos elementos además de lo que has escrito que agregaría.

  1. Cambie el nombre de su cuenta de administrador : sí, esto podría ser una molestia (especialmente si tiene servicios con la cuenta de administrador de dominio), sin embargo, este es un nombre de usuario de fuerza bruta que se intenta con frecuencia. Cambie el nombre de esta cuenta a algo ambiguo que no sea fácil de adivinar.
  2. No utilice nombres comunes para cuentas : si audita los registros de seguridad, notará que una buena parte de los nombres de inicio de sesión son nombres comunes (administrador, admin, sql, sa, besadmin, guest, etc). Asegúrese de que no está utilizando estos nombres de usuario, o si necesita usar el nombre de usuario, asegúrese de que no tenga los derechos para iniciar sesión en su servidor de escritorio remoto
  3. Imponer una política de bloqueo de cuenta : con el cambio de nombre de su cuenta de administrador y el cambio de nombre de sus otras cuentas de servicio o la falta de acceso al servidor remoto, esto impedirá que alguien intente iniciar sesión con ese nombre de usuario. Asegúrese de establecer esto como una política local en el servidor remoto y no como una política de dominio. Los usuarios intentarán una contraseña incorrecta con su cuenta durante X intentos, se bloquearán y pasarán a la siguiente dirección IP.
  4. Investigar TS Gateway - TS Gateway permite que sus sesiones de RDP se conecten a su red a través del puerto SSL estándar de TCP 443. Esto le permitirá apagar completamente el puerto 3389 del mundo exterior. El único inconveniente que he encontrado con esta tecnología es que no hay un cliente de RDP para Mac libre que le permita utilizar la Puerta de enlace de TS, por lo que si tiene Mac, deberá pagar por el cliente o desconectar Puerta de enlace de TS.
  5. Windows SSHD_Block : un administrador del sistema con talento llamado Evan Anderson escribió un bonito y pequeño VBScript eso bloqueará las direcciones IP que intentan atacar con fuerza tu servidor de Terminal Server. Échale un vistazo a AQUÍ

Espero que estos pequeños consejos y trucos te ayuden a proteger tu red.

    
respondido por el DKNUCKLES 18.07.2012 - 15:01
fuente
-1

... Wow, no esperaba que nadie pudiera responder mi pregunta. Busqué en muchas fuentes y encontré lo siguiente:

  1. Me aseguro de que la contraseña de inicio de sesión del servidor cumpla con los requisitos de complejidad (a continuación) y que tenga una duración de al menos 10 caracteres.

    English uppercase characters (A through Z).
    English lowercase characters (a through z).
    Base 10 digits (0 through 9).
    Non-alphabetic characters (for example, !, $, #, %).
    
  2. Algunas cosas deben ser cambiadas, otras ignoradas. Si mi conexión RDP ya está restringida solo a mi dirección IP, la posibilidad de que alguien entre por el puerto 3389 es menor.

    Es una buena idea establecer una dirección IP de confianza más permitida en las reglas del firewall en caso de que cambie mi dirección IP local. (sucede todo el tiempo, los proveedores de ISP a menudo vuelven a asignar nuevas direcciones IP después de un tiempo) De esta manera todavía tengo la oportunidad de iniciar sesión en RDP.

  3. El IpPort 1214 (puerto de origen) u otros puertos entre 1012 y 63000 o más no son los puertos del Servidor 2008, pero son los puertos del equipo host que intentó iniciar sesión, por lo que no estoy siendo atacado en esos puertos! El único puerto bajo el ataque es el 3389 con firewall (puerto RDP).

  4. para evitar que se llene el registro de eventos de seguridad, abro el Administrador del servidor - > Diagnóstico - > Visor de eventos - > Registros de Windows - > Seguridad y haga clic en propiedades.

En Propiedades (en la pestaña General) mantengo marcada la casilla "Habilitar registro" y selecciono "Sobrescribir eventos según sea necesario". También puedo reducir el tamaño máximo de registro a 500 kb o menos para mantener algunos registros de registros.

Eso es :) Esa parece ser la mejor solución. Si tiene una mejor, por favor publíquela.

    
respondido por el Milan 17.07.2012 - 07:26
fuente
-1

Siempre es una buena idea tener una política de contraseña estricta.

También una política de bloqueo de cuenta es una buena cosa. El principal problema con las políticas de bloqueo de cuenta es que si alguien conoce el nombre estándar para sus usuarios, es demasiado fácil causar un ataque de DOS simplemente bloqueando las cuentas de usuario al iniciar sesión con contraseñas incorrectas y eso puede ser un problema si alguien está fuera. para causar problemas para ti.

También hay un software llamado Syspeace que rastrea, bloquea e informa automáticamente cada intento de fuerza bruta y creo que es muy fácil de usar con su GUI.

(Divulgación: mi empresa vende este software)

    
respondido por el Juha Jurvanen 04.10.2012 - 12:57
fuente

Lea otras preguntas en las etiquetas