Grande número de tentativas de login no RDP com falha

Navegue suas respostas
1

Eu já vi essa mesma questão discutida para servidores estilo unix - como aqui É normal fazer centenas de tentativas de arrombamento por dia?

Mas gostaria de saber se existe uma recomendação semelhante para servidores baseados no Windows. Meu servidor tem RDP aberto para a rede, e às vezes eu fui atingido com tantos pedidos de login que realmente DOS'ed a máquina. Eu mudei o meu número de porta e isso ajudou por um tempo, mas agora vejo que eles estão voltando a bater na "nova" porta também. Eu também estou vendo que essas tentativas de login vêm de muitos IPs de origem, então ele é distribuído.

Existe algum serviço ou aplicativo que possa ver todos os logins com falha e banir temporariamente os ip's? Como um fail2ban para ganhar?

    
por boomhauer 11.07.2012 / 22:43

5 respostas

4

Eu realmente recomendo que você migre do RDP direto da Internet, se for viável. Caso contrário, verifique se você está corrigido para a vulnerabilidade de código remoto do RDP descoberta recentemente. O código de exploração é a parte do metasploit agora e também está disponível em estado selvagem .

A mudança de porta não ajuda muito porque ferramentas como o nmap podem encontrá-lo trivialmente. Você pode alterar a porta, mas não pode alterar a impressão digital .

    
por 12.07.2012 / 01:10
2

Você tem algumas opções disponíveis para você.

  1. Mitigar o ponto de ataque - Implementar algo como Gateway TS , que terá todo o tráfego RDP vai para a porta SSL padrão de 443. Isso permitirá que você feche a porta 3389 do mundo externo, reduzindo (se não eliminando) suas tentativas de força bruta. Dito isto, o cliente Mac RDP ainda não é compatível com o TS Gateway, por isso, se tiver Macs a ligar, poderá estar sem sorte.
  2. Implementar uma política de bloqueio de conta - Permitir 5 tentativas incorretas de login antes de bloquear a conta. A maioria das tentativas de força bruta acontece com nomes específicos (como eu tenho certeza que você pode dizer) para que eles parem de tentar se a conta for bloqueada. Ocasionalmente, você verá um bot que tentará vários nomes, mas a maioria deles tentará apenas um nome específico (ou seja, proprietário, root, teste, besadmin, etc)
  3. Você poderia implementar uma VPN - Premissa similar ao Gateway TS que uma VPN colocaria seus usuários dentro do firewall, novamente permitindo fechar a porta 3389. A ressalva aqui é que a maioria dos administradores não deseja computadores desconhecidos. conectando-se à sua VPN, então eu só implementaria isso se os computadores conectados estivessem sob seu controle.

Existem ferramentas de terceiros disponíveis para ajudá-lo a bloquear tentativas de força bruta, mas como você pode ver, isso pode ser feito sem elas também. Mesmo antes de termos um Gateway TS estabelecido, a implementação de uma política de bloqueio reduziu drasticamente o tráfego que vimos na porta 3389.

    
por 11.07.2012 / 22:54
2

Evan anderson criou uma ferramenta chamada ts_block para bloquear solicitações de serviços de terminal / RDP. É discutido aqui, Como parar a brutalidade forçar ataques no Terminal Server (Win2008R2)?

A própria ferramenta está disponível aqui link

    
por 11.07.2012 / 22:56
1

talvez você possa tentar o link

    
por 11.07.2012 / 23:26
0

É um servidor 2008? Você pode ativar o NLA (Network Level Authentication - Autenticação no Nível da Rede), o que ajuda, já que a sessão não é estabelecida até que as credenciais sejam autorizadas.

    
por 12.07.2012 / 16:52

Tags

Não é possível pingar o servidor Ubuntu pelo hostname Como despejar uma parte de uma tabela do PostgreSQL?