Автор Тема: Около 200 попыток в день побора пароля из вне. Как защититься?  (Прочитано 4016 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Здравствуйте. Система аудита сигнализирует, что наш Exchange пытаются вскрыть из вне подбором паролей. Вначале это было около 20 попыток в день, сегодня спустя 3 месяца после установки уже 200 попыток в день. Пока радует, то что использую достаточно распространенные названия почтовых ящиков, мы таких не имеем. Так как я понимаю, что exchange не может банить по ip и по этому ничего другого в голову не приходит. Возможно нужно изменить сетевую конфигурацию, но не что менять и в какую сторону смотреть. У кого-то есть предложении как можно с этим бороться?
Имеем Exchange 2016
Спасибо.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
реверс прокси, как я понимаю, но послушаем более опытных, и 16 я вообще не видел.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
и 16 я вообще не видел.
Ну дык он не отличается по этому моменту от предыдущих никак. И реверс-прокси от попыток перебора пароля от ящиков как защитит? Какой-нибудь реверс-прокси с WAF (Web Application Firewall), ну тот может и защитит.

В AD-то вообще стоит политика блочить учетки после N неудачных попыток?

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Да, разумеется прокси с соответсвующей на него навесочкой.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Я, кстати, как раз в качестве реверc-прокси для Skype for Business недавно тестил KEMP Load Balancer Free - балансировщик, который умеет реверс-прокси, у него там есть WAF. По крайней мере галка стоит. Но, насколько я понял, там подписка должна быть, чтобы какие-то там базы обновлялись. Ну, или я не понял, почему там недоступны настройки некоторые.

Это галка в правиле публикации:
ila_rendered

А это настройки WAF, которые недоступны:
ila_rendered

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Система аудита сигнализирует, что наш Exchange пытаются вскрыть из вне подбором паролей.
я смотрел откуда брутят - и блокировал сетями на внешней циске.
Брутят то какой сервис? smtp ? activesync?

Оффлайн anton.lazutkin

  • Начинающий
  • *
  • Сообщений: 49
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Брянск
а если добавить еще и проверку сертификата?

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
а если добавить еще и проверку сертификата?
и кто его будет проверять? по каким параметрам?

Оффлайн anton.lazutkin

  • Начинающий
  • *
  • Сообщений: 49
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Брянск
и кто его будет проверять? по каким параметрам?

тот же самый nginx умеет проверять сертификаты. минус, конечно, в том, что каждому пользователю надо скачивать и ставить свой личный сертификат себе на устройство, но зато секьюрно. примерный конфиг nginx:

  listen 443;
    ssl                     on;
    ssl_client_certificate /etc/nginx/ssl/web.pem;  - корневой сертификат
    ssl_verify_client on;

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Если только так. Я неверно понял слово "проверка сертификата"

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
я смотрел откуда брутят - и блокировал сетями на внешней циске.
Аудит у меня считывает логи типа Fail logon с контроллера, по этому я вижу только, что с сервера exchange было совершено там например 189 неудачных логонов учетные записи которых sales@-мойдомен-.ru, admin@--,info@ и так далее. Сервер соответственно смотрит, пробросом через микрот, наружу. По этому какой конкретно сервис smtp или activesync я не знаю.
а если добавить еще и проверку сертификата?
С сертификатом очень хорошая идея, но минус в том что я никогда не работал с nginx и нет уверенности, что в одиночку я смогу его одолеть. Можно ли это сделать непосредственно на exchange? Если нет, то буду мучать nginx. Сертификат можно сделать один для всех?



Updated: 21 March 2018, 19:44:17

Да и важно, чтобы сотрудники могли работать с мобильных приложений. Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.
« Последнее редактирование: 21 марта 2018, 19:44:17 от 2site »

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.
это вы еще в айфон self signed серт не впихивали  *smoke*


Updated: 21 March 2018, 22:28:48

Можно ли это сделать непосредственно на exchange
для клиентов .... ммм... скорее нет чем да.
https://technet.microsoft.com/ru-ru/library/dd351044(v=exchg.160).aspx
Сертификат можно сделать один для всех?
можно -но это не совсем правильно,  опять же - проблема распространения клиентского сертификата по клиентам + клиенту понадобится еще корневой вашего ЦС.
В идеале - сразу подумать - как будут выглядеть процедуры:
renew
revoke


Updated: 21 March 2018, 22:30:39

Аудит у меня считывает логи типа Fail logon с контроллера, по этому я вижу только, что с сервера exchange было совершено там например 189 неудачных логонов учетные записи которых sales@-мойдомен-.ru, admin@--,info@ и так далее.
на exchange логи безопасности не смотрели? обычно там айпишник откуда стучались фиксируется
« Последнее редактирование: 21 марта 2018, 22:30:39 от sirarthur »

Оффлайн anton.lazutkin

  • Начинающий
  • *
  • Сообщений: 49
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Брянск
Да и важно, чтобы сотрудники могли работать с мобильных приложений. Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.

все прекрасно работает. для яблокофонов можно делать mobileconfig, в котором будет личный сертификат пользователя. на андроид руками приходится подсовывать.

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Fail Logon уже доростает до 2500 попыток за сутки. Можно ли запретить авторизацию из вне, разрешить только из локальной сети?

Оффлайн DedMagarbI4

  • Ветеран
  • *****
  • Сообщений: 1921
  • Рейтинг: 12
  • Пол: Мужской
    • Просмотр профиля
Fail Logon уже доростает до 2500 попыток за сутки. Можно ли запретить авторизацию из вне, разрешить только из локальной сети?
я решал проблему подбора пароля очень просто, на файрволе просто заблочил IP с которых пытались подбирать пароли. посмотрел в логи smtp, глянул ip адреса, добавил их в файрвол блок по всем портам и делов. у меня была к тому же проблема еще веселее, сначала подбиралсь пароли от неправильных учеток info support и т.п., но потом всякие законы и т.п. список некоторых почтовых адресов нужно было публиковать в инете, а т.к. имя почтового ящика у нас равно логину почты, ну т.е. pupkin@domain.ru = domain\pupkin - учетки стали блочится и пользователи стали негодовать приходя на работу а учетка заблочена  :trollface: