Форум системных администраторов

IT => Windows => MS Exchange => Тема начата: 2site от 19 марта 2018, 16:26:23

Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: 2site от 19 марта 2018, 16:26:23
Здравствуйте. Система аудита сигнализирует, что наш Exchange пытаются вскрыть из вне подбором паролей. Вначале это было около 20 попыток в день, сегодня спустя 3 месяца после установки уже 200 попыток в день. Пока радует, то что использую достаточно распространенные названия почтовых ящиков, мы таких не имеем. Так как я понимаю, что exchange не может банить по ip и по этому ничего другого в голову не приходит. Возможно нужно изменить сетевую конфигурацию, но не что менять и в какую сторону смотреть. У кого-то есть предложении как можно с этим бороться?
Имеем Exchange 2016
Спасибо.
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: Triangle от 19 марта 2018, 16:51:49
реверс прокси, как я понимаю, но послушаем более опытных, и 16 я вообще не видел.
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: Retif от 19 марта 2018, 19:34:13
и 16 я вообще не видел.
Ну дык он не отличается по этому моменту от предыдущих никак. И реверс-прокси от попыток перебора пароля от ящиков как защитит? Какой-нибудь реверс-прокси с WAF (Web Application Firewall), ну тот может и защитит.

В AD-то вообще стоит политика блочить учетки после N неудачных попыток?
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: Triangle от 19 марта 2018, 19:50:28
Да, разумеется прокси с соответсвующей на него навесочкой.
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: Retif от 19 марта 2018, 20:29:41
Я, кстати, как раз в качестве реверc-прокси для Skype for Business недавно тестил KEMP Load Balancer Free - балансировщик, который умеет реверс-прокси, у него там есть WAF. По крайней мере галка стоит. Но, насколько я понял, там подписка должна быть, чтобы какие-то там базы обновлялись. Ну, или я не понял, почему там недоступны настройки некоторые.

Это галка в правиле публикации:
[attachimg=1]

А это настройки WAF, которые недоступны:
[attachimg=2]
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: sirarthur от 20 марта 2018, 14:14:12
Система аудита сигнализирует, что наш Exchange пытаются вскрыть из вне подбором паролей.
я смотрел откуда брутят - и блокировал сетями на внешней циске.
Брутят то какой сервис? smtp ? activesync?
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: anton.lazutkin от 20 марта 2018, 15:49:19
а если добавить еще и проверку сертификата?
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: sirarthur от 20 марта 2018, 17:24:47
а если добавить еще и проверку сертификата?
и кто его будет проверять? по каким параметрам?
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: anton.lazutkin от 20 марта 2018, 18:09:26
и кто его будет проверять? по каким параметрам?

тот же самый nginx умеет проверять сертификаты. минус, конечно, в том, что каждому пользователю надо скачивать и ставить свой личный сертификат себе на устройство, но зато секьюрно. примерный конфиг nginx:

  listen 443;
    ssl                     on;
    ssl_client_certificate /etc/nginx/ssl/web.pem;  - корневой сертификат
    ssl_verify_client on;
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: sirarthur от 20 марта 2018, 19:18:51
Если только так. Я неверно понял слово "проверка сертификата"
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: 2site от 21 марта 2018, 19:37:06
я смотрел откуда брутят - и блокировал сетями на внешней циске.
Аудит у меня считывает логи типа Fail logon с контроллера, по этому я вижу только, что с сервера exchange было совершено там например 189 неудачных логонов учетные записи которых sales@-мойдомен-.ru, admin@--,info@ и так далее. Сервер соответственно смотрит, пробросом через микрот, наружу. По этому какой конкретно сервис smtp или activesync я не знаю.
а если добавить еще и проверку сертификата?
С сертификатом очень хорошая идея, но минус в том что я никогда не работал с nginx и нет уверенности, что в одиночку я смогу его одолеть. Можно ли это сделать непосредственно на exchange? Если нет, то буду мучать nginx. Сертификат можно сделать один для всех?



Updated: 21 March 2018, 19:44:17

Да и важно, чтобы сотрудники могли работать с мобильных приложений. Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: sirarthur от 21 марта 2018, 22:21:43
Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.
это вы еще в айфон self signed серт не впихивали  *smoke*


Updated: 21 March 2018, 22:28:48

Можно ли это сделать непосредственно на exchange
для клиентов .... ммм... скорее нет чем да.
https://technet.microsoft.com/ru-ru/library/dd351044(v=exchg.160).aspx
Сертификат можно сделать один для всех?
можно -но это не совсем правильно,  опять же - проблема распространения клиентского сертификата по клиентам + клиенту понадобится еще корневой вашего ЦС.
В идеале - сразу подумать - как будут выглядеть процедуры:
renew
revoke


Updated: 21 March 2018, 22:30:39

Аудит у меня считывает логи типа Fail logon с контроллера, по этому я вижу только, что с сервера exchange было совершено там например 189 неудачных логонов учетные записи которых sales@-мойдомен-.ru, admin@--,info@ и так далее.
на exchange логи безопасности не смотрели? обычно там айпишник откуда стучались фиксируется
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: anton.lazutkin от 22 марта 2018, 10:54:58
Да и важно, чтобы сотрудники могли работать с мобильных приложений. Я не вижу где например в мобильном приложении Outlook для аутентификации прилипить сертификат.

все прекрасно работает. для яблокофонов можно делать mobileconfig, в котором будет личный сертификат пользователя. на андроид руками приходится подсовывать.
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: 2site от 15 мая 2018, 07:14:19
Fail Logon уже доростает до 2500 попыток за сутки. Можно ли запретить авторизацию из вне, разрешить только из локальной сети?
Название: Около 200 попыток в день побора пароля из вне. Как защититься?
Отправлено: DedMagarbI4 от 05 августа 2018, 22:50:07
Fail Logon уже доростает до 2500 попыток за сутки. Можно ли запретить авторизацию из вне, разрешить только из локальной сети?
я решал проблему подбора пароля очень просто, на файрволе просто заблочил IP с которых пытались подбирать пароли. посмотрел в логи smtp, глянул ip адреса, добавил их в файрвол блок по всем портам и делов. у меня была к тому же проблема еще веселее, сначала подбиралсь пароли от неправильных учеток info support и т.п., но потом всякие законы и т.п. список некоторых почтовых адресов нужно было публиковать в инете, а т.к. имя почтового ящика у нас равно логину почты, ну т.е. pupkin@domain.ru = domain\pupkin - учетки стали блочится и пользователи стали негодовать приходя на работу а учетка заблочена  :trollface: