Blokování útoků na Windows

xtream

Blokování útoků na Windows
« kdy: 14. 04. 2013, 14:45:34 »
Ahoj,

mel bych dotaz, zda nekdo resil problematiku blokovani IP adres, ktere se pokouseji pripojit ze sveta k ruznym MS sluzbam co provozujeme a hadaji jmeno/heslo. Myslenka je takova, ze na serverech, kde tyto sluzby bezi, by bezelo neco jako fail2ban. Resit to zablokovanim vsech pristupu z venku s nutnosti pripojeni pres VPN nechceme. Diky za napady.
« Poslední změna: 14. 04. 2013, 19:35:54 od Petr Krčmář »


Pavel 'TIGER' Růžička

Re:windows fail2ban
« Odpověď #1 kdy: 14. 04. 2013, 14:56:14 »
Nemá k těmto účelům sloužit firewall s natem? A ve světě windows to pochopitelně raději řešit koncovím zařízením typu nějaké kvalitní krabičky.

Re:windows fail2ban
« Odpověď #2 kdy: 14. 04. 2013, 15:48:49 »
Nemá k těmto účelům sloužit firewall s natem? A ve světě windows to pochopitelně raději řešit koncovím zařízením typu nějaké kvalitní krabičky.
A když bude Windows Server ve virtuálu, třeba nad ESXi? Samotného by mě zajímalo,jak se tohle běžně řeší.

Pavel 'TIGER' Růžička

Re:windows fail2ban
« Odpověď #3 kdy: 14. 04. 2013, 19:00:38 »
Nemá k těmto účelům sloužit firewall s natem? A ve světě windows to pochopitelně raději řešit koncovím zařízením typu nějaké kvalitní krabičky.
A když bude Windows Server ve virtuálu, třeba nad ESXi? Samotného by mě zajímalo,jak se tohle běžně řeší.
Tak to se bude buď řešit na straně hostujícího systému, a nebo pokud bude HW dostatečně silný, tak dalším virtuálem, nebo i před ten hostující můžeš hodit krabičku, ale to už mi přijde jako plýtvání. Nicméně asi by to chtělo konkrétní příklad, aby se nediskutovalo na obecné rovině. Ale řešil se konkrétní systém s nějakým zaměřením.

Petr_Svetr

Re:Blokování útoků na Windows
« Odpověď #4 kdy: 14. 04. 2013, 22:31:58 »
Ahoj,

mel bych dotaz, zda nekdo resil problematiku blokovani IP adres, ktere se pokouseji pripojit ze sveta k ruznym MS sluzbam co provozujeme a hadaji jmeno/heslo. Myslenka je takova, ze na serverech, kde tyto sluzby bezi, by bezelo neco jako fail2ban. Resit to zablokovanim vsech pristupu z venku s nutnosti pripojeni pres VPN nechceme. Diky za napady.
svepomoci by to slo pomerne snadno powershell skriptem, ktery bude ze security logu grepovat IP adresy hostu a nasledne muze projit pravidla FW na danem stroji, a zkontrolovat, zda je adresa v deny, prip. ji tam pridat. Je to jenom lokalni zalezitost, ale slo by to jeste vylepsit - servery muzuou treba jenom fetchovat IP adresy a zpracovat se muzou na centralnim FW.


Jenda

Re:Blokování útoků na Windows
« Odpověď #5 kdy: 15. 04. 2013, 08:43:17 »
Ahoj,

mel bych dotaz, zda nekdo resil problematiku blokovani IP adres, ktere se pokouseji pripojit ze sveta k ruznym MS sluzbam co provozujeme a hadaji jmeno/heslo. Myslenka je takova, ze na serverech, kde tyto sluzby bezi, by bezelo neco jako fail2ban. Resit to zablokovanim vsech pristupu z venku s nutnosti pripojeni pres VPN nechceme. Diky za napady.
Co mít hesla taková, abyste tohle řešit prostě nemuseli? Nebo ještě lépe používat pro přihlašování certifikáty a klíče.

Re:Blokování útoků na Windows
« Odpověď #6 kdy: 15. 04. 2013, 13:50:25 »
To nemá s heslama nic společného, podívej se nejdřív jak funguje fail2ban ;) ..jde o to,že když se ti třeba do OWA snaží přihlásit tisíckrát útočník z té samé IP. S fail2ban ho po deseti neplatnejch pokusech zabanuju a mam (na chvíli) klid.


smoofy

  • *****
  • 1 049
    • Zobrazit profil
    • E-mail
Re:Blokování útoků na Windows
« Odpověď #7 kdy: 15. 04. 2013, 14:52:28 »
Nebylo by lepsi resit toto dedikovanym firewallem klidne ve virtualu? Bylo by to snadnejsi na spravu, protoze tato by byla centralizovana. Otazkou je kolik a jakych sluzeb kde pobezi a jak jsou rozvrhnuty IP adresy.
Hlavni vyhodou centralizovaneho reseni je, ze pokud k vam pujde utok na nejaky server s verejnou adresou a tento IP rozsah etc. zabanuje tak nekteri boti se muzou posunout na dalsi IP a stejne zacne nanovo na dalsim serveru. Centralizovane reseni zabanuje proste cely rozsah pro celou vnitrni sit at uz natovanou nebo transparentni. Na ten firewall neni potreba nic extra rychleho.

alfi

  • ****
  • 298
    • Zobrazit profil
    • E-mail
Re:Blokování útoků na Windows
« Odpověď #8 kdy: 15. 04. 2013, 17:11:15 »
na *nixech funguje hezká obezlička změnit defaultní port. widle si s tím ale moc neporadí (ještě možná RDP, ale sdílení souborů už ne). příp. ještě může pomoct pustit dovnitř jen vybrané adresy - např. všichni externí uživatelé jsou na dsl, upc, mobilním internetu (tam je rozsahů relativně málo) nebo naopak dát tvrdý blacklist na ty velmi dotěrné (čína, afrika = pokud tam uživatelé nejezdí nebo zvládnou i tu vpn). to stačí udělat jednou a pak už jen řešit případné stížnosti.

o něco komplikovanější varianta může být povolovat např. jen IP adresy pro českou republiku (tam už je rozsahů několik set až tisíc, průběžně přibývají.. a útoků z nich je výrazně méně). ale to už ten fail2ban bude mít podobnou náročnost..

Jenda

Re:Blokování útoků na Windows
« Odpověď #9 kdy: 15. 04. 2013, 19:33:23 »
S fail2ban ho po deseti neplatnejch pokusech zabanuju a mam (na chvíli) klid.
Od čeho? Jde ti čistě o traffic, který to žere?

pavel


xtream

Re:Blokování útoků na Windows
« Odpověď #11 kdy: 15. 04. 2013, 21:38:08 »
Servery jsou ruzne po republice, politika hesel je proste nejak dana (nejsou uplne simple ale zas taky ani ne moc slozity, aby je uzivatele nepsali na stul, na monitory ...). Pro priklad: 5 serveru ruzne dislokovanych po republice, na kazdem nejake domenove veci (prihlasovani do domeny), exchange, cifs, webdav, terminal services, sharepoint, IIS a dalsi, ktere maji byt dostupny i z netu. Vychazi mi to, ze asi nejlepsi a nejjednodussi by bylo neco jako iptables, kde by se definovalo, ze pokud na jakykoliv port z konkretni IP prijde treba vice 100 pokusu za 30 vterin na spojeni (SYN), tak to danou IP zablokuje (s tim, ze by byl nejaky whitelist pro LAN stroje atp.). Nejsem si totiz jistej, ze to pujde delat ''aplikacne" (fail2ban style) pri takovemto poctu ruznych typu navazanych sluzeb, hlavne po tom, co jsem videl ty powershell skripty. Takze asi jednodussi cesta by byla nejak na urovni L3/L4, jenom je otazkou, zda muze za bezneho provozu nastat treba tech 100/30 SYNu.

Franta <xkucf03/>

Re:Blokování útoků na Windows
« Odpověď #12 kdy: 15. 04. 2013, 22:04:13 »
Windows (pokud jsou tedy potřeba) patří do virtuálu a na něm může (resp. měl by) běžet firewall, který zakáže všechno a povolí jen skutečně žádoucí provoz (v obou směrech). HW firewall bude většinou zbytečnost (tedy různé SOHO krabičky, něco jiného je výkonný firewall pro celou síť).

smoofy

  • *****
  • 1 049
    • Zobrazit profil
    • E-mail
Re:Blokování útoků na Windows
« Odpověď #13 kdy: 15. 04. 2013, 23:25:35 »
to xtream
Citace
jenom je otazkou, zda muze za bezneho provozu nastat treba tech 100/30 SYNu.
Zalezi na tom, jak rychle budou reagovat ty widle a kolik konkurencnich spojeni ti dovoli te soft, ale mozne to teoreticky je, ale rekl bych ze spise nepravdepodobne.
Co se ti presne nelibi na tom fail2ban stylu?

Re:Blokování útoků na Windows
« Odpověď #14 kdy: 16. 04. 2013, 07:11:20 »
No, xtreame, já teda nevím, ale http://lmgtfy.com/?q=fail2ban+windows dává jako pátý výsledek http://cyberarms.net/security-insights/security-lab/cyberarms-vs-fail2ban.aspx. Co třeba začít tím, že nám řekneš, co ti na něm nevyhovuje?