Форум системных администраторов
IT => Windows => MS Exchange => Тема начата: 2site от 19 марта 2018, 16:26:23
-
Здравствуйте. Система аудита сигнализирует, что наш Exchange пытаются вскрыть из вне подбором паролей. Вначале это было около 20 попыток в день, сегодня спустя 3 месяца после установки уже 200 попыток в день. Пока радует, то что использую достаточно распространенные названия почтовых ящиков, мы таких не имеем. Так как я понимаю, что exchange не может банить по ip и по этому ничего другого в голову не приходит. Возможно нужно изменить сетевую конфигурацию, но не что менять и в какую сторону смотреть. У кого-то есть предложении как можно с этим бороться?
Имеем Exchange 2016
Спасибо.
-
реверс прокси, как я понимаю, но послушаем более опытных, и 16 я вообще не видел.
-
и 16 я вообще не видел.
Ну дык он не отличается по этому моменту от предыдущих никак. И реверс-прокси от попыток перебора пароля от ящиков как защитит? Какой-нибудь реверс-прокси с WAF (Web Application Firewall), ну тот может и защитит.
В AD-то вообще стоит политика блочить учетки после N неудачных попыток?
-
Да, разумеется прокси с соответсвующей на него навесочкой.
-
Я, кстати, как раз в качестве реверc-прокси для Skype for Business недавно тестил KEMP Load Balancer Free - балансировщик, который умеет реверс-прокси, у него там есть WAF. По крайней мере галка стоит. Но, насколько я понял, там подписка должна быть, чтобы какие-то там базы обновлялись. Ну, или я не понял, почему там недоступны настройки некоторые.
Это галка в правиле публикации:
[attachimg=1]
А это настройки WAF, которые недоступны:
[attachimg=2]
-
Система аудита сигнализирует, что наш Exchange пытаются вскрыть из вне подбором паролей.
я смотрел откуда брутят - и блокировал сетями на внешней циске.
Брутят то какой сервис? smtp ? activesync?
-
а если добавить еще и проверку сертификата?
-
а если добавить еще и проверку сертификата?
и кто его будет проверять? по каким параметрам?
-
и кто его будет проверять? по каким параметрам?
тот же самый nginx умеет проверять сертификаты. минус, конечно, в том, что каждому пользователю надо скачивать и ставить свой личный сертификат себе на устройство, но зато секьюрно. примерный конфиг nginx:
listen 443;
ssl on;
ssl_client_certificate /etc/nginx/ssl/web.pem; - корневой сертификат
ssl_verify_client on;
-
Если только так. Я неверно понял слово "проверка сертификата"
-
я смотрел откуда брутят - и блокировал сетями на внешней циске.
Аудит у меня считывает логи типа Fail logon с контроллера, по этому я вижу только, что с сервера exchange было совершено там например 189 неудачных логонов учетные записи которых sales@-мойдомен-.ru, admin@--,info@ и так далее. Сервер соответственно смотрит, пробросом через микрот, наружу. По этому какой конкретно сервис smtp или activesync я не знаю.
а если добавить еще и проверку сертификата?
С сертификатом очень хорошая идея, но минус в том что я никогда не работал с nginx и нет уверенности, что в одиночку я смогу его одолеть. Можно ли это сделать непосредственно на exchange? Если нет, то буду мучать nginx. Сертификат можно сделать один для всех?
Updated: 21 March 2018, 19:44:17
Да и важно, чтобы сотрудники могли работать с мобильных приложений. Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.
-
Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.
это вы еще в айфон self signed серт не впихивали *smoke*
Updated: 21 March 2018, 22:28:48
Можно ли это сделать непосредственно на exchange
для клиентов .... ммм... скорее нет чем да.
https://technet.microsoft.com/ru-ru/library/dd351044(v=exchg.160).aspx
Сертификат можно сделать один для всех?
можно -но это не совсем правильно, опять же - проблема распространения клиентского сертификата по клиентам + клиенту понадобится еще корневой вашего ЦС.
В идеале - сразу подумать - как будут выглядеть процедуры:
renew
revoke
Updated: 21 March 2018, 22:30:39
Аудит у меня считывает логи типа Fail logon с контроллера, по этому я вижу только, что с сервера exchange было совершено там например 189 неудачных логонов учетные записи которых sales@-мойдомен-.ru, admin@--,info@ и так далее.
на exchange логи безопасности не смотрели? обычно там айпишник откуда стучались фиксируется
-
Да и важно, чтобы сотрудники могли работать с мобильных приложений. Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.
все прекрасно работает. для яблокофонов можно делать mobileconfig, в котором будет личный сертификат пользователя. на андроид руками приходится подсовывать.
-
Fail Logon уже доростает до 2500 попыток за сутки. Можно ли запретить авторизацию из вне, разрешить только из локальной сети?
-
Fail Logon уже доростает до 2500 попыток за сутки. Можно ли запретить авторизацию из вне, разрешить только из локальной сети?
я решал проблему подбора пароля очень просто, на файрволе просто заблочил IP с которых пытались подбирать пароли. посмотрел в логи smtp, глянул ip адреса, добавил их в файрвол блок по всем портам и делов. у меня была к тому же проблема еще веселее, сначала подбиралсь пароли от неправильных учеток info support и т.п., но потом всякие законы и т.п. список некоторых почтовых адресов нужно было публиковать в инете, а т.к. имя почтового ящика у нас равно логину почты, ну т.е. pupkin@domain.ru = domain\pupkin - учетки стали блочится и пользователи стали негодовать приходя на работу а учетка заблочена :trollface: