IP tentando acessar RDP Brute Force



  • Pessoal boa tarde, a tempos que vejo alguém tentando advinhar via brute force meu TS, são vários logs no Windows Server ID 4625 que é quando alguém erra uma senha do mesmo. Fiz algo paliativo no meu NAT negando as requisições vindas do IP 91.197.232.27. Segundo sites de geolocalização o IP vem da República Checa.
    Vi que no IPTables tem como implementar uma configuração que detecta esses tipo de ataques, fica aqui minha dúvida, alguém sabe como fazer isso no PFsense ?

    Se alguém tiver conhecimento e quiser dar uma "Nmapada" nesse IP maldito pra ver se coleta alguma informação ficarei grato .

    abs



  • Olá, iptables não tem esse recurso, no caso teria que ser um IDS/IPS, mas creio que a foram mais simples é fazer uma VPN e não deixar o RDP aberto direto para internet.



  • @Tomas:

    Olá, iptables não tem esse recurso, no caso teria que ser um IDS/IPS, mas creio que a foram mais simples é fazer uma VPN e não deixar o RDP aberto direto para internet.

    Tomas Waldow - obg pela dica vou pesquisar a respeito



  • Outra dica já que você já tem o IP é no Pfsense negar qualquer tipo de conexão vindo dele, barre no firewall e de mais segurança ao seu TS



  • @guitarcleiton:

    Outra dica já que você já tem o IP é no Pfsense negar qualquer tipo de conexão vindo dele, barre no firewall e de mais segurança ao seu TS

    guitarcleiton - eu fiz esse regra… até agora não voltou o ataque. Quanto a segurança defini uma gpo pra bloquear a conta por 2 dias caso o usuário erre 3x a senha.

    É engraçado que no Windows Server não fica registrado o IP dele, parece ser uma boa técnica.

    Quanto a colocar em uma VPN to analisando pois eu teria que instalar o cliente do OpenVPN em cada Usuário que precisasse acessar o TS e são muitos.

    O detalhe é: o IP dele uma hora vai trocar e vai voltar o ataque. vi uma dica mas o cara usava iptables e crontab onde a cada 30 minutos ele disparava um script pra verificar os logs e lançava os IPs em uma lista de BadIPs tudo automático, achei legal.



  • Seria uma boa usar o Snort como IDS, é um pouco trabalhoso no começo mas uma ferramenta top.

    pfblocker tbm ajudaria nesse caso tem alguns tutorias aqui no forum sobre ele.

    voce nao usa NAT para mascarar a porta 3389? (só uma duvida) se for o caso altera a porta.



  • @rvl:

    Seria uma boa usar o Snort como IDS, é um pouco trabalhoso no começo mas uma ferramenta top.

    pfblocker tbm ajudaria nesse caso tem alguns tutorias aqui no forum sobre ele.

    voce nao usa NAT para mascarar a porta 3389? (só uma duvida) se for o caso altera a porta.

    Primeiramente obrigado pela contribuição RVL.
    Cara o negócio é Snort mesmo tava pesquisando.
    quanto ao NAT eu já alterei a porta default ai o camarada começa dar port scan até ele descobrir qual responde ao RDP MS.
    Ainda agora percebi mais uma vez que o cidadão estava com IP 91.197.234.10



  • Fiz o seguinte o seguinte bloqueio logo toda a faixa

    91.197.224.0/19
    


  • Um IDS realmente da trabalho e precisa de estudo para implementar.

    Se não puder permitir somente uma origem, ainda é mais simples usar VPN, OpenVPN é muito simples de fazer.



  • Somente complementando, nunca deixe um WTS aberto para a internet. É uma presa fácil.

    Se as pontas de acesso forem ip fixo, libera só pra estes!

    Ou então, VPN como mencionado. OpenVPN client-to-site.



  • @ttercio:

    Pessoal boa tarde, a tempos que vejo alguém tentando advinhar via brute force meu TS, são vários logs no Windows Server ID 4625 que é quando alguém erra uma senha do mesmo. Fiz algo paliativo no meu NAT negando as requisições vindas do IP 91.197.232.27. Segundo sites de geolocalização o IP vem da República Checa.
    Vi que no IPTables tem como implementar uma configuração que detecta esses tipo de ataques, fica aqui minha dúvida, alguém sabe como fazer isso no PFsense ?

    Se alguém tiver conhecimento e quiser dar uma "Nmapada" nesse IP maldito pra ver se coleta alguma informação ficarei grato .

    abs

    ttercio, É provável que haja soluções mais elegantes, porém a solução efetiva que encontrei, e também a vi citada em alguns comentários aqui, foi criar um ALIAS (ex:ORIGEMWTS) e incluir nele os IP´s que tem permissão para logar no seu servidor. Depois basta criar uma RULE que negue acesso a qualquer um que não esteja naquele ALIAS.

    Claro que se a lista de IP´s for muito extensa ou consistir em IP´s dinâmicos, essa solução pode não ser viável. Neste caso, a VPN, em minha opinião, é a solução mais segura.



  • A solução mais prática é utilizar o pfBlockerNG, e banir todos os endereços fora do Brasil.



  • @santeLLo:

    A solução mais prática é utilizar o pfBlockerNG, e banir todos os endereços fora do Brasil.

    E os ataques de Ransomware vindos do BR?



  • @santeLLo:

    A solução mais prática é utilizar o pfBlockerNG, e banir todos os endereços fora do Brasil.

    Neste caso voce consegue acessar qualquer site fora do brasil?

    Nunca trabalhei com esse pacote.



  • Consegue, tu só faz o boqueio de entrada.



  • Pessoal primeiramente muito obrigado pela contribuição. Sei que esse tema pra muitos já é até batido mas é sempre importante agente debater.

    Pensando no que o hugoeyng disse como meus clientes não tem IP Fixo, só se eu criasse um no-ip pra cada cliente meu e instalasse no PC deles o DUC. Depois criar um alias apontando pra todos os no-ip's. testei aqui e da certo .. mas teria que comprar pq eles so liberam 5 pra cada usuário deles.

    santeLLo - Cara achei muito legal essa dica do pfBlockerNG uma vez que meus acessos são apenas do BR, mas agente também tem que pensar nos ataques do BR também.

    brunok - "nunca deixe um WTS aberto para a internet. É uma presa fácil." É tenso manow mas tenho que ter.

    OpenVPN seria bom mas minha NET é muito ruinzinha pois é um lugar afastado e só tem provedor via Rádio tosco, quando crio o Tunel fica mais lento do que o TS direto.

    Obrigado a Todos.



  • No seu caso uma solução interessante é publicar RDP over HTTPS o que reduz muito a superfície de ataque e permite a publicação via portal. Tipo um site com o ícone das aplicações disponíveis.



  • @andrefreire:

    No seu caso uma solução interessante é publicar RDP over HTTPS o que reduz muito a superfície de ataque e permite a publicação via portal. Tipo um site com o ícone das aplicações disponíveis.

    Bom dia andrefreire isso que vc disse: "permite a publicação via portal. Tipo um site com o ícone das aplicações disponíveis" seria o Remote APP do Windows Server ? Se sim já utilizo e é muito bom.



  • Sim, é com RemoteApps porém acessado pelo navegador. Não precisa criar os RDP para distribuição e trafegam pela porta 443 e não pela 3389.



  • @andrefreire:

    Sim, é com RemoteApps porém acessado pelo navegador. Não precisa criar os RDP para distribuição e trafegam pela porta 443 e não pela 3389.

    hummmmmm bom saber…. bela dica



  • @andrefreire:

    Sim, é com RemoteApps porém acessado pelo navegador. Não precisa criar os RDP para distribuição e trafegam pela porta 443 e não pela 3389.

    Você indicaria algum site em que eu possa obter mais informações sobre este assunto? Obrigado.