Antihammer na RDC pre WinSBS2003

Diskuze k serverovým edicím Microsoft Windows

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Nexus_sk 21. 7. 2011 22:00

Pozna to kazdy, kto spravuje server - z casu na cas je tam nejaky sken portov a nasledne niekto z konkretnej IP adresi skusa, ktory ucet by sa mohol nejakou nahodou otvorit.

Ako tuto situaciu riesite vy? Viem, je to bitka s veternymi mlynmi, ale co ked sa nahodou niekto trafi do hesla na ucet "Administrator" :(.
Nexus_sk
Junior

Odeslat příspěvekod Milanr1 22. 7. 2011 08:34

Fatální chyba admina!
Všechny anonymní účty je nutno:
1) zakázat;
2) přejmenovat.
Anonymní účet Administrator bez hesla nebo s primitivním heslem typu „admin“ zkouší hackerské nástroje jako první!
Pro hesla uživatelů nastavit příslušné politiky:
Password must meet complexity requirements -> Enabled
Minimum password length -> 12 znaků
Account lockout threshold -> 3 pokusy # tím zabráníš přihlášení příliš ovíněných BFU, nehledě na automatické hackerské boty.

Sken portů není zajímavý, běžná a neškodná záležitost.
To by měl admin kontrolovat průběžně (skenováním portů), zda není konkrétní server dostupný na nepotřebných portech - a po zjištění je zakázat.
Btw:
IMHO je nejvyšší čas na přechod -> MS SBS 2011! ;-)
http://www.microsoft.com/oem/en/product ... rview.aspx
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Nexus_sk 22. 7. 2011 10:21

Milanr1 píše:Fatální chyba admina!
Všechny anonymní účty je nutno:
1) zakázat;
2) přejmenovat.
Anonymní účet Administrator bez hesla nebo s primitivním heslem typu „admin“ zkouší hackerské nástroje jako první!

Samozrejme ucty ako Guest a ASP.NET ... som zakazal hned po instalacii. Ale skor ma stve ucet Administratora. Je tam sice pomerne dlhe heslo zlozene z niekolkych fraz a par znakov, takze slovnikovym sposobom by to nemal mat lahke, ale stale "co ked sa predsa len trafi" brute-force-om :( ?!
Tento ucet navyse z casu na cas pouzivam, kedze niektory BFU su na tolko zmyslovzbaveny, ze ak som sa na danom PC posledny prihlasoval ja, tak mi tam zostava moje prihlasovacie meno a oni zvesela 3x za sebou nabuchaju svoje heslo. Po tom som v "trube" cca ja, kedze mam bloknute konto a musim sa lognut cez "Administrator"-a a konto si odblokovat.

Milanr1 píše:Minimum password length -> 12 znaků

Toto mi nepreslo, uz pri osmych znakoch bola vzbura, takze sme skoncili licitovanie na siestich :(.

Milanr1 píše:Sken portů není zajímavý, běžná a neškodná záležitost.
To by měl admin kontrolovat průběžně (skenováním portů), zda není konkrétní server dostupný na nepotřebných portech - a po zjištění je zakázat.

Ten sken portov je denne niekolko desiatok krat, co sa mi zda byt az podozrivo velke cislo. Firewall z internetu je nastaveny tak, ze pusti do vnutra iba to, co potrebujem, inak vsetko ide prec. Ale niekto si naskenuje, ze na nejakom porte zvonku mam RDC na serveri a uz ho tam laduje :(.

A toho sa prave obavam ...

Ako FTP pouzivam free zFTP, ktory ma uz slusnu databazu IP adries, odkial sa niekto pokusal nahrat na server nieco zaujimave, ale tam to funguje automaticky.
Nexus_sk
Junior

Odeslat příspěvekod Milanr1 22. 7. 2011 11:23

Už jsem to psal: používat nepřejmenovaný účet Administrator = fatální bezpečnostní chyba!

MS implementace rdp = bezpečná, zatím to nikdo nenaboural, narozdíl od častého hacku rdp na *nixu.
Základním předpokladem je samozřejmě použití (mj.) aspoň výše uvedených základních bezpečnostních pravidel.
Pokud jsi hodně paranoidní, používej rdp over VPN.
Ftp není bezpečný. Pokud možno používej šifrovaný sftp nebo ftps (ftp over ssl).
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Bari007 22. 7. 2011 12:07

Tohle je naprosto běžný jev. Mám pocit, že děláš z komára velblouda.

Mám na starost dva W2k8 servery na páteři CESNETu a tohle je téměř na denním pořádku - desítky tisíc pokusů během pár hodin o přístup na účty admin, ADMIN, administrator, Administrator přes vzdálenou plochu (bez ohledu na to, že systém není case-sensitive) každý týden. Ještě jsem v logu nezaznamenal, že by byl cílený útok na nějaký jiný uživatelský účet.

Z toho plyne naprosto jednoduchá ochrana - žádný účet s názvem admin/administrator se v systému nenachází.

Pro svůj přístup měj svůj účet. Ostatní uživatelé mají také své účty.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod WitekCZ 22. 7. 2011 12:35

Nexus_sk píše:Tento ucet navyse z casu na cas pouzivam, kedze niektory BFU su na tolko zmyslovzbaveny, ze ak som sa na danom PC posledny prihlasoval ja, tak mi tam zostava moje prihlasovacie meno a oni zvesela 3x za sebou nabuchaju svoje heslo. Po tom som v "trube" cca ja, kedze mam bloknute konto a musim sa lognut cez "Administrator"-a a konto si odblokovat.


Jednoduche reseni. Jdi do Local security settings (secpol.msc) - Local policies - Security options. Tam si najdi "Interactive logon: Do not display last user name properties" a dej Enabled.
WitekCZ
Junior

Odeslat příspěvekod Nexus_sk 23. 7. 2011 09:05

WitekCZ píše:Jednoduche reseni. Jdi do Local security settings (secpol.msc) - Local policies - Security options. Tam si najdi "Interactive logon: Do not display last user name properties" a dej Enabled.

Takto som to povodne nastavene mal, ale opat sa odohrala vzbura BFU, kedze nie je pre nich dostatocne konfortne, aby sustavne zadavali aj meno okrem hesla, ked ho tam zadavali vcera vecer a dnes rano sa ponahlaju :(.

Kazdopadne, napisal som "diplomaticky mail" o tom, ze ked mi konto zablokuju, tak mi "zviazu ruky" (reakcia na povoleny ucet Administrator) a tiez aj o tom, ze pokial mi budu casto ucet blokovat, tak si pre istotu budu musiet pisat aj mena :). Ked chcu byt jesitny, budem jesitny aj ja, inak sa to asi neda ...

Dakujem za nove poznatky.
Nexus_sk
Junior

Odeslat příspěvekod Bari007 23. 7. 2011 09:39

Mít jeden účet pro více lidí a ještě k tomu účet Administrator, je totální zhůvěřilost, která si zaslouží být po zásluze potrestána...
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Nexus_sk 23. 7. 2011 10:03

Bari007 píše:Mít jeden účet pro více lidí a ještě k tomu účet Administrator, je totální zhůvěřilost, která si zaslouží být po zásluze potrestána...

Zopakujem, ten ucet pouzivam iba ja a iba ak mi bloknu ucet. Inak ten ucet tam "len je". Ale teraz je uz bloknuty, tak uvidim, ako sa bude situacia vyvijat :).
Nexus_sk
Junior

Odeslat příspěvekod Bari007 23. 7. 2011 10:06

Pak další opatření v podobě blokace účtu není potřeba.

Samozřejmostí je volba silného hesla a pravidelná obměna hesel, což snadno nastavíš v politikách pro uživatelský účet, jak už psal Milanr1.

Spíš než blokace účtu bych volil blokace IP adresy, z které neplatné pokusy přijdou.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Nexus_sk 23. 7. 2011 11:06

Bari007 píše:Pak další opatření v podobě blokace účtu není potřeba.

Je, nastastie toto si vynutila samotna spolocnost, takze s tymto som nemal vobec ziaden problem. Ale uz z realitou je to niekde uplne inde :( (ano, vidim prihlaseneho uzivatela na troch rozdielnych PC a ked potrebujem restartovat server a zavolam mu na mobil, tak zistim, ze je uz nejaky ten cas na dovolenke - kto potom sedi u tych troch PC??? - v tomto vlakne to nechcem a nebudem riesit, riaditelovy som napisal jednu A4 s napisom "Nezhoda" a dalej nech si to v ramci ISO riesi ako on sam uzna za vhodne - varovany bol ...)

Bari007 píše:Samozřejmostí je volba silného hesla a pravidelná obměna hesel, což snadno nastavíš v politikách pro uživatelský účet, jak už psal Milanr1.

Toto bolo tiez v poziadavkach spolocnosti, takze opat mam dalsi "cajk". O tej komplexnosti som si uz poplakal, takze tiez to dalej nebudem rozvadzat.

Bari007 píše:Spíš než blokace účtu bych volil blokace IP adresy, z které neplatné pokusy přijdou.

BINGO! Sem som sa snazil smerovat, ale nejaksi som dostal sprsku kamenia, ze to mam nastavene zle ... Cize sa vratim ku samotnemu napisu: "antihammer na RDC". Firewall je tam KerioControll, ktory som preliezol zhora-zdola, ale nikde som nenasiel moznost automatickeho blokovania IP adresi, z ktorej prislo vela neuspesnych pokusov o pripojenie.

Mimochodom:
Milanr1 píše:IMHO je nejvyšší čas na přechod -> MS SBS 2011! ;-)
http://www.microsoft.com/oem/en/product ... rview.aspx

Spolocnost je neziskovka, uz ich vidim, ako kupuju novy server s OEM SW (kedze toto je pre nich najlacnejsia moznost) ... Ale diki za tip :). Raz to urcite budu musiet kupit, ja len dufam, ze to nebude v ramci riesenia nejakeho "pruseru" :(.
Nexus_sk
Junior

Odeslat příspěvekod Bari007 24. 7. 2011 16:50

Nevím o aplikaci, která by tohle uměla a přímo v možnostech WS (potažmo SBS) tato možnost není.

Jediná šance by byla napsat si nějaký vlastní skriptík.

Stále si ale myslím, že při dodržení všech bezpečnostních pravidel, která již byla řečena, je to naprosto zbytečné řešení. O čemž svědčí i fakt, že na to není žádný nástroj přímo v OS ;)

Pokud se jedná o velké síťové útoky (snadno poznáš v logu), řešení je pak spíš na úrovni hlavních směrovačů/přepínačů, aby takový útok vůbec nešel do lokální sítě a nezatěžoval svými požadavky lokální síťové prvky a jednotlivé servery.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Nexus_sk 24. 7. 2011 17:06

Cize, vycerpal som teda vsetky svoje technicke (o tom, ze uzivatelia tam jazdia po roznych pornach s trojanmi neriesim) moznosti, ako zabranit prieniku na server? Samozrejme, pri dodrzani popisu vyssie ...
Nexus_sk
Junior

Odeslat příspěvekod Bari007 24. 7. 2011 17:24

Bavíme se pouze o uživatelských účtech, ne o komplexním zabezpečení serveru.

Pokud ale deaktivuješ/přejmenuješ účet Administrator, je to v pohodě za předpokladu, že ostatn účty jsou dobře zabezpečené. Pokud tam ten účet musí z nějakých pro mě nepochopitelných důvodů být, pak musí mít velice silné heslo. Jak vypadá silné heslo už si najdeš sám na internetu.

Pokud máš ale blbě nastavený firewall nebo blbě zabezpečené jiné běžící služby, pak útočník může páchat škody i jinými způsoby.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod michalli 16. 8. 2011 13:21

Nexus_sk píše:Cize, vycerpal som teda vsetky svoje technicke (o tom, ze uzivatelia tam jazdia po roznych pornach s trojanmi neriesim) moznosti, ako zabranit prieniku na server? Samozrejme, pri dodrzani popisu vyssie ...


1. účet administrator přejmenuj nebo zablokuj. účet administrator nepoužívej a na stanicích jej taky zablokuj!
2. ve firewallu bych naopak dal seznam jen povolených ip ze kterých chceš přistupovat pro správu serveru (pro port RDP), nastavit to tam rozhodně jde (v kerio control).

-- 16. 8. 2011 14:24 --

mimochodem pokud jde o požadavky společnosti nebo uživatelů - o tomhle by si mělo rozhodnout vedení. každopádně bys je měl upozornit na to že heslo o 6ti znacích je v dnešní době velmi krátké. minimální doporučená délka je 8 znaků u alfanumerického hesla, ideálně aby to bylo složité heslo a zamykal bych po 5 pokusech, 3 pokusy jsou někdy moc málo.
Michal Zobec
Senior IT Consultant, ZOBEC Consulting
michalli
Junior
Uživatelský avatar

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků