Cyberarms intrusion detection windows base security agent

Проблемы бывают только на одном сервере, там ни как не удавалось отказаться от очень простых имен и паролей. Смягчает ситуацию то обстоятельство что простые имена-пароли только у ограниченных пользователей.

Единственное что я делаю иногда, это настраиваю Политику безопасности IP и блокирую вручную подсети из которых идут запросы:

Есть варианты автоматизации. Например PowerShell + фаервол wipfw. Но с WinXP такой, не прокатывает, вроде бы. Так как в журнал не пишутся адреса с которых идут попытки подключения.

Настоящим решением будет firewall который сам способен распознавать атаку на RDP-сервер и блокировать адрес-источник, а не учётную запись пользователя как это можно (и должно!) настроить в политике блокировки учетной записи. Всего записей: 454 | Зарегистр. 25-01-2009 | Отправлено: 11:10 12-09-2012 | Исправлено: mark74, 11:25 12-09-2012

Ruza

Gold Member

Цитата:

Настоящим решением будет firewall который сам способен распознавать атаку на RDP-сервер и блокировать адрес-источник

Ага — этакий SkyNet с терминатором, который сможет отличить дурного юзера, забывшего пароль, от хакера-монстра.

И почему на картинке блокируется /24, ведь whois говорит что надо 195.144.192.0/19

Цитата:

[root@www

]# whois 195.144.205.44
[Querying whois.ripe.net]
[whois.ripe.net]
inetnum: 195.144.192.0 — 195.144.223.255
netname: RU-LVS-970402
descr: CJSC Togliatti Telecom
country: RU
org: ORG-BSJ1-RIPE
admin-c: AK4799-RIPE
tech-c: YM12-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: LIR-RU-LVS-MNT
mnt-routes: LIR-RU-LVS-MNT
source: RIPE # Filtered

organisation: ORG-BSJ1-RIPE
org-name: CJSC Togliatti Telecom
org-type: LIR
address: CJSC Togliatti Telecom
Alexey Kurlakov
41 Sverdlova St.
445026 Togliatti, Samara region
RUSSIAN FEDERATION
phone: +78482270002
phone: +78482270270
fax-no: +78482423500
admin-c: AK4799-RIPE
admin-c: OP3333-RIPE
admin-c: YM12-RIPE
mnt-ref: LIR-RU-LVS-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Aleksei Kurlakov
address: JSC Togliatti Telecom
address: 41 Sverdlova str
address: Togliatti 445026
address: Russian Federation
phone: +7 8482 420744
fax-no: +7 8482 420740
nic-hdl: AK4799-RIPE
mnt-by: TOTCOM-MNT
source: RIPE # Filtered

person: Yuri Mailjan
address: AVTOVAZ DIS
address: Yushnoje shosse 36
address: 445024 Togliatti
address: Samara region
address: Russia
phone: +7 8482 757444
nic-hdl: YM12-RIPE
mnt-by: VAZ-MNT
source: RIPE # Filtered

% Information related to ‘195.144.192.0/19AS8249’

route: 195.144.192.0/19
descr: Togliatti Telecom Service Provider networks
origin: AS8249
mnt-by: TOTCOM-MNT
source: RIPE # Filtered

———-
Fools rush in where angels fear to tread.

Всего записей: 5461 | Зарегистр. 10-09-2003 | Отправлено: 12:08 12-09-2012 | Исправлено: Ruza, 12:13 12-09-2012

mark74

Full Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza

Цитата:

И почему на картинке блокируется /24, ведь whois говорит что надо 195.144.192.0/19

)) а вот не знал я этого!
Проверял на принадлежность адреса диапазонам своих региональных провайдеров и если это не из нашего региона, то блокировал диапазон соответствующий подсети класса C. А какая там на самом деле подсеть, мне не приходило в голову поинтересоваться. Теперь даже не знаю менять ли подход или нет.

а что касается интеллектуального фаирвола, в sygete что то подобное возможно есть:

Всего записей: 454 | Зарегистр. 25-01-2009 | Отправлено: 06:21 13-09-2012

Ruza

Gold Member

Цитата:

а что касается интеллектуального фаирвола, в sygete что то подобное возможно есть:

То немного не то что ты думаешь. Отличить хакера от забывчивого юзера практически не возможно, как не крути.
Поэтому варианты защиты — это:
1. VPN
2. Ограничение IP адресов по принципу всё запрещено, разрешено только избранным.
3. Не стандартный порт.
4. Ну и ручное блокирование (но это не тема т.к. сильно зависит от человеческого фактора)

———-
Fools rush in where angels fear to tread.

Всего записей: 5461 | Зарегистр. 10-09-2003 | Отправлено: 15:25 13-09-2012

ITP08

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору анализирую журнал системы, после заношу в firewall, скрипт запускается каждый час
(пока работает)

Dim objWMIService
Dim wmiDateTime

Dim objEvent
Dim colEvents
Dim dtmEventTime
Dim strEventQuery

Dim strPos
Dim strLength

Dim arrIP(10,2)
Dim idx

objRequest.open «GET», stURL, False

objRequest.setRequestHeader «Authorization», «Basic ZZZZZZZZZZZZZ=»
objRequest.setRequestHeader «User-Agent», «XXXXXXXXXXXXXXXXXXXX»
objRequest.setRequestHeader «Accept», «YYYYYYYYYYYYY»
objRequest.setRequestHeader «Accept-Language», «ru-RU,ru;q=0.9,en;q=0.8»
objRequest.setRequestHeader «Referer», «http://modem»
objRequest.setRequestHeader «Cache-Control», «no-cache»
objRequest.setRequestHeader «Connection», «Keep-Alive»
objRequest.send

For idx = 1 to 10

arrIP(idx — 1,0) = «»
arrIP(idx — 1,1) = 0

On Error Resume Next
Set objWMIService = GetObject(«winmgmts://./root/cimv2»)
If Err.Number Then
WScript.Quit
End If

Set wmiDateTime = CreateObject(«WbemScripting.SWbemDateTime»)
If Err.Number Then
WScript.Quit
End If
On Error Goto 0

// проверять последний час
dtmEventTime = DateAdd(«h»,-1, Now)

wmiDateTime.SetVarDate dtmEventTime, True

strEventQuery = «SELECT * FROM Win32_NTLogEvent WHERE LogFile=’Security’ AND SourceName = ‘Security’ AND EventCode = ‘529’ AND TimeGenerated > ‘» & wmiDateTime.Value & «‘»

On Error Resume Next
Set colEvents = objWMIService.ExecQuery(strEventQuery)
For Each objEvent in colEvents
If Err.Number Then
WScript.Quit
End If
On Error Goto 0

strPos = instr(strMsg,»Адрес сети источника:») + len(«Адрес сети источника:»)
strLength = instr(strMsg,»Порт источника:») — strPos

strMsg = Replace(Mid(strMsg,strPos,strLength),vbCrLf,»»)
strMsg = Trim(Replace(strMsg,vbTab,»»))

idx = 1
For idx = 1 to 10

if arrIP(idx — 1,0) = strMsg Then
Exit For
elseif arrIP(idx — 1,0) = «» then
arrIP(idx — 1,0) = strMsg
Exit For
End If

if idx «») and (arrIP(idx — 1,0) <> «xxxx») and (arrIP(idx — 1,0) <> «yyyyy») and (arrIP(idx — 1,0) <> «jjjjjj») Then

if arrIP(idx — 1,1) > 10 Then

if strPos = 0 Then

‘//Auth
call GetHTTP(objRequest,»http://modem»)

‘//AddFilter
call GetHTTP(objRequest,»http://modem/scipfilter.cmd?action=add&wanIf=ALL&fltName=0&IPFltAllow=0&protocol=0&srcAddr=» & arrIP(idx — 1,0) & «&srcMask=255.255.255.255»)

Set objRequest = Nothing

Всего записей: 5 | Зарегистр. 20-03-2008 | Отправлено: 19:39 22-09-2012

mark74

Full Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ITP08
очень хорошо!
обязательно проверю!
По крайней мере, в части обращения к журналу безопасности. Самому-то поиметь эти знания лень было

а тут готовое ))
С фаерволом сложнее роутеры везде разные, где то просто ADSL-модем без встроенного фаервола.
Пока больше нравится идея через политику безопасности блокировать. Тоже наверное как-то можно автоматизировать.

Всего записей: 454 | Зарегистр. 25-01-2009 | Отправлено: 09:55 24-09-2012

DenIsKaSedoY

Newbie

Извините за поднятие темы, но может кому то пригодится.

Тоже стали напрягать боты, после ковыряния интернетов нашёл IPBan, работает как сервис на Windows Server 2008 и выше (проверял на 2008r2 английской).

Всего записей: 8 | Зарегистр. 22-02-2006 | Отправлено: 22:29 15-11-2014

YBRUKAX

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да, будет!
Реализуется на Mikrotik. Только необходимо отредактировать под RDP:

/ip firewall filter

add chain=input protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment=»drop rdp brute forcers» disabled=no

add chain=input protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment=»» disabled=no

add chain=input protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment=»» disabled=no

add chain=input protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment=»» disabled=no

add chain=input protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment=»» disabled=no

Всего записей: 10 | Зарегистр. 25-02-2007 | Отправлено: 11:14 12-10-2015 | Исправлено: YBRUKAX, 11:17 12-10-2015

dimasss1985

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот мое решение для автоматической блокировки IP по аудиту отказа. Просто и функционально.

http://infostart.ru/public/462816/

Всего записей: 9 | Зарегистр. 06-12-2011 | Отправлено: 09:55 06-03-2016

reenoip

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

Вот мое решение для автоматической блокировки IP по аудиту отказа. Просто и функционально.

У тебя там в настройках по ссылке прописано следующее:

Цитата:

4) В задаче ОБЯЗАТЕЛЬНО указать «рабочую директорию» и параметр запуска программы $(IpAddress) (без кавычек и т.п.) и запуск с повышенными привилегиями.

Ты серьёзно? Кто в здравом уме решится запустить твоего кота в мешке, да ещё и на сервере? Публикуй свои программы с исходным кодом — это единственная гарантия, что ты действительно пытаешься помочь, а не подставить.

Всего записей: 1763 | Зарегистр. 10-03-2006 | Отправлено: 06:57 08-03-2016

oval2003

Silver Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Так же существует и такое решение Cyberarms Intrusion Detection:
http://cyberarms.net

Да и кряк к программе существует

Всего записей: 3196 | Зарегистр. 08-07-2006 | Отправлено: 15:39 08-03-2016 | Исправлено: oval2003, 16:44 08-03-2016

slime555

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору VPN наше все

Всего записей: 148 | Зарегистр. 08-07-2008 | Отправлено: 10:50 09-03-2016

APTEMKA267

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По какой-то причине у меня эти правила не работают.
Все соединения с сервером сразу становятся established и естественно не блокируются

Всего записей: 56 | Зарегистр. 12-05-2007 | Отправлено: 10:22 13-07-2016

TokImota

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору RDP Defender, делает тоже самое что и скрипт выше, анализирует журнал и блочит айпишники
бесплатный.
http://www.terminalserviceplus.com/rdp-defender.php

Всего записей: 718 | Зарегистр. 21-08-2007 | Отправлено: 09:17 15-07-2016

DizeLyaka

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TokImota

Цитата:

RDP Defender, делает тоже самое что и скрипт выше, анализирует журнал и блочит айпишники
бесплатный.

А если в журнал IP не попадают, так как в настройках RDP выставлен уровень безопастности высокий.

Тогда какая прога может это сделать?

Всего записей: 170 | Зарегистр. 13-11-2005 | Отправлено: 11:17 27-04-2017

dostali

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Много рыл. Куча советов для блокировки самого себя — поставить ограниченное количество попыток неверного пароля и блочить (но блочить аккаунт), ага самого себя. Вносить в политику огромное количество подозрительных адресов. Советы хорошие, но не то. В итоге нарыл. Работает. Реально работает. Настраивается гибко и количество попыток и время блока.

Скачать Cyberarms IDDS или на сайте разработчика

Всего записей: 58 | Зарегистр. 22-01-2003 | Отправлено: 09:58 28-03-2018 | Исправлено: dostali, 10:00 28-03-2018

KPOBABAK

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Cyberarms IDDS
весьма любопытна. жаль она не работает толком.
на windows 2012R2 не отрабатывает неудачные попытки по RDP.
и в логах не показывает что они были.

Всего записей: 66 | Зарегистр. 16-11-2005 | Отправлено: 11:52 20-06-2018

Vby

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KPOBABAK

TLS/SSL Security Agent: Possible intrusion attempt.

Аудит отказа Microsoft Windows security auditing. 4625 Вход в систему