Hur portblockering med Syspeace stoppar lösenordsattacker mot Windows
Att hantera lösenordsattacker (även kända som ordboksatacker eller brute force attacks / dictionary attacks ) mot Windows är en komplicerad historia. I själva operativet finns väldigt lite skydd mot detta , se t.ex. den här artikeln för mer information kring problemet att hantera frågan.
En del prgramvaror och webtjänster har en inbyggd hantering mot lösenordsattacker men problemet är att de bara tar hand om den egna applikationen .
Ett exempel är t.ex. WordPress eller FileZilla FTP Server.
Till båda finns möjligheten att ställa in att en attack ska stoppas från att få försöka logga in under en viss tid mot just den egna applikationen.
De kan dock inte på något sätt stoppa trafik mot andra applikationer eller tjänster som är igång på samma server som t.ex. Exchange OWA webmail elelr Remote Desktop Services.
En hacker kommer märka han blev blockerad på t.ex. FileZila Server men han kan fortfarande föröska logga in mot andra tjänster som t.ex. Exchange OWA Webmail eftersom den ju är nåbar.
På det sättet kan alltså lösenordsattacken fortsätta mot andra tjänster på samma server. Det är bara just FileZilla som inte tillåter att den IP adressen försöker logga in.
Hur Syspeace hanterar hackerattacken
Syspaece hanterar lösenordsattacker annorlunda.När en applikation eller tjänst som skyddas av Syspeace blir attackerad så komnmer attacken att stoppas mot alla tjänster på samma server .
Det innebär alltså att om man har t.ex. en FTP server och Webmail på samma server så kommer en hacker att bli helt utelåst från all kommunikation. med den servern.Attacke spåras, rapporteras till Syspeace Global Blacklist och mailas till systemadministratören med information om varfrån attacken skedde, när, vilket användarnamn som användes och hur länge den IP adressen kommer att vara låst.
Den här demon resulterade i det här mailet till mig som sysadmin.
Ämne :Syspeace Alert from JUFCORP\EUROPA, IP 192.168.0.26 (juffe-hp.jufcorp.com) [Internal or reserved address] blocked until 2015-03-01 20:22:00
Blocked address 192.168.0.26 (juffe-hp.jufcorp.com) [Internal or reserved address] 2015-03-01 20:22:00 Rule used:
Type of block: Windows login
Rule name: Catch All Login
Trigger window: 5.00:00:00
Occurrences: 5
Lockout time: 02:00:00
Previous observations of this IP address:
2015-03-01 18:21:43 syspeacevideo
2015-03-01 18:21:40 syspeacevideo
2015-03-01 18:21:41 syspeacevideo
2015-03-01 18:21:38 syspeacevideo
2015-03-01 18:21:39 syspeacevideo
Hur Syspeace stoppar en hackeratattack
Den här videon är ett försök att visa hur det fungerar med Syspeace.
Det här är vad vi ser på skärmen:
Kontunierlig ping mot servern (högst upp till vänster)
Den lokala IP adressen (mitten)
De andra fönstren visar olika typer av inloggningar mot tjänster på den servern, i det här fallet FTP Server, SMTP på port 25, Webserver, Webmail.
Jag börjar med att visa att jag når alla tjänsterna normalt och får en inloggning normalt och kan visa websidor som är min hemsida hhttps://www.jufcorp.com/worpdress
Sedan startar jag medvetet en lösenordsattack med net use mot servern för att få Syspeace att hantera attacken.
När blockeringen träder i kraft så ser man hur ping slutar svara och jag når inte heller några av de andra tjänsterna jag nådde innan .
Jag som hacker är alltså helt utelåst från all kommunikation mot servern mot alla tjänster och det jag inte kan kommunicerra med kan jag inte helelr attackera.
Alla tjänster är dock fullt nåbara för alla andra så servern fungerar fortfarande precis som den ska mot kunder och anställda så de inte drababs av attacken som att få konton utelåsta eller tjänster som upphör fungera.
Jag försöer visa det genom att byta IP adress och nå tjänsterna igen vilket fngerar alldeles normalt igen
Se videon här