Skydda Windows och t.ex. Exchange webmail OWA mot lösenordsattacker

Juha Jurvanen

Skydda sin Exchange OWA Webmail mot lösenordsattacker

Microsoft Exchange Server är en väldigt vanlig mailserver för både små, medelstora och stora företag.
För mindre företag ingår den t.ex. i sviterna Small Business Server och för större företag installeras den ofta som en separat server för att ge användare en enkel tillgång till epost, kontakter och kalender och naturligtvis en bra integration med Microsoft Outlook.

Att ge användarna tillgång till en webmail inloggning är vanligt och sätts upp av de flesta företag/leverantörer. Tanken är naturligtvis att man ska kunna läsa sina mail från vilken webläsare som helst.

Inloggningen till webmail är oftast tillgänglig via en länk som t.ex. https://mail.företaget.se/owa och den är tillgänglig för hela världen, vilket ju är tanken. Användarna kan ju vara på resande fot varsomhelst i världen och då ska även werbmail vara lätt att komma åt.

Nackdelen med att webmail är tillgängligt från alla i hela världen betyder just at det är synligt och nåbart för alla. De företag / leverantöer använder också standardlänkar för detta så det är allmänt kända s.k. sökvägar äevn för hackers.

Att stoppa lösenordsattacker

1 Windows Server finns ingen inbyggd mekanism för att hantera lösenordsattacker (s.k. brute force attacks eller dictionary attacks).
En lösenordsattack bygger på en ganska enkel princip, skriv in användarnamnet som du tror att det ska vara (ofta t.ex. användarens mailadress alternativt företagetsdomän\användarnamn) och sedan gissa sig fram med en väldigt lång lista ord och variationer på ord och på det sättet helt enkelt hoppas på att lyckas logga in.
En hacker gör inte det här för hand utan det är helt automatiserat.

Account Lockout Policy som skydd

Det n√§rmaste inbyggda skyddet som finns i Windows Server √§r Account Lockout Policy som i praktiken s√§ger att “Om det h√§r anv√§dnarnamnet ar misslyckats att logga in t.ex. 5 g√•nger inom en halvtimme ska kontot l√•sas och inte kunna logga in under t.ex 30 minuter”. Account Lockpt Policy √§r nite p√•slaget som standard vilket kanske √§r lika bra.

Tänk scenariot när en hacker vet en användares namn (vilket vädigt ofta är ganska enkelt att få fram genom att söka på t.ex. hemsidan efter namnstandraden på mail och söka efter sk metadata på Internet) och vill försöka ta sig in för att komma åt epost.

Om Account Lockout Policy är påslaget så kommer användarens hela konto att låsas ner.
Hackern kan inte använda just det kontot men i den andra vågskålen ligger ju att det kan inte användaren själv
heller. Användarnamnet (dvs kontot) är ju låst.

I ett sådant scenario har Account Lockout Policy tyvärr gjot mer skada än nytta eftersom användaren inte kommer
åt sina mail längre ( eller något annat heller i företagsnätet).

Account Lockout Policy i en DDOS atatck

Om en sån attack sker från hundratals eller tusentals datorer (sk botnät) samtidigt så har en hacker alltså ganska effektivt helt lamslagit ett företag därför att det är inte bara webmail-inloggningen som drabbas utan det är användarens hela konto som låses dvs , man kan inte ens logga in när man sitter på kontoret.
Kontot √§r l√•st och tiden m√•ste v√§ntas ut eller en systemadmininstrat√∂r m√•ste manuellt l√•sa upp kontot.Ofta attackeras flera anv√§ndarnamn samtidigt och som ren kruiosa kan man n√§mna att kontoto “administartor” inte g√•r att l√•sa i Micorosft WIndows Serevr dvs en hacker kan f√∂r√∂ska gissa sig till l√∂senordet hur m√•nga g√•nger som helst (ett tips h√§r √§r att b√∂rja med att d√∂pa om kontot till n√•got annat n√§r ni s√§tter upp era system )

Testa din egen säkerhet och respons på incidenter

Jag har också själv uppmanat många att testa sin egen säkerhet gentemot sin leverantör av t.ex. molntjänster eller sitt eget företags IT policy.
Testa helt enkelt att logga in mot t.ex er webmail med ditt anävndarnamn men medvetet fel lösenord .
Testa det t.ex. 10 eller 15 gånger i rad och se vad som händer?
Kommer någon att reagera, låses ditt konot, kommer någon at rappportera till dig att någon försökt använda ditt konto ?
Om du kontaktar IT avdelningen eller leverantören och ber om en rapport på när och varifåfrn någon försökt använda ditt konto , kan de få fram dessa uppgifter åt dig ? Hur hanterar t.ex. er leverantör av molntjänster såna här saker ?

Att skydda Exchange utan Account Lockout Policy

Om Account Lockout Policies däremot inte är aktiverat kan en hacker försöka med hur många inloggningar och lösenord och variationer som helst utan att det egentligen märks eller ens uppmärksammas ofta av IT avdelningen eller driften av molntjänsten.
Förr eller senare kan en hacker gissa rätt lösneord . Med tilfäckligt många datorer och löeneordslistor är sannolikheten allt högre. Det är egentligen ren matematik.

Det finns några sätt att lösa det här på.

En gammal metod är att implementera en VPN lösning med certifikat (ett certifikat krypterar och veriferar trafiken mellan två punkter, t.ex. mellan din dator och ert företagsnät så det inte ska kunna avlyssnas)eller dosor med tvåvägvalidering/SMS som validerar användaren med en kod och inte tillåter direkt åtkomst till webmail utan ett svar från dosan/SMS.
Den typen av lösningar brukar också kallas tvåvägsautentisering.

En VPN l√∂sning kr√§ver en del administration, SSL certifkat (f√∂ratt skydda siog mot s.k. “man in the middle”
attacker elelr förkortat till MITM ) och ibland även licenser och prgramvara som måste installeras på de enheter där man vill logga ifårn.
Funktionalitet blir alltså lidande efetrsom man kan vara på resande fot elller lånat en PC / MAC o.s.v. och inte
kan elelr får installera VPN klieneten.

Med en VPN lösning öppnar man också upp ofta upp trafik i sin helhet till fler enheter på insidan av brandväggen
och om maskinen man sitter vid t.ex. drabbats av ett virus kan det leda till obehagliga scenarion elelr om
datorn som kopplar upp sig blivit hackad så har även hackaren full tillågn till hela ert företagsnät.

Att dölja inloggningen till sin OWA webmail från hackers

Ett annat sätt är att inte tillåta webmail mot OWA alls. Nackdelen är naturligtvis att användare inte enkelt kan komma åt sin mail och även synkronisering med mobila enheter blir lidande.

Ett fjärde alternativ är att byta t.ex. port på sin OWA (från standard https / 443 till något annat.).
Det här skyddar dock inte inloggningen för webmailen utan gör den bara lite svårare att hitta men den är oftast väldigt enkel att hitta för den som vill. En anna nackdel är att det kan krångla med andra tjänster i ert nät eller ibland t.o.m ändras tillbaka till standrad efter en Windows Update körning vilket är en huvudvärk för serverteknikerna och som kan betyda det tar ett ta att hiotta vad som hände och att lösa det. Under tiden komemr era tjänster inte att fungera.

Automatisk blockering av lösenordsattacker med Syspeace

Det fjärde och och i särklass enklaste alternativet är att använda Syspeace.

Syspeace övervakar misslyckade (och lyckade) inloggningar på b.la. Exchange Server och bedömer om det är en
lösenordsattack eller inte baserat på regler man själv kan ändra och styra.

Standarddreglerna s√§ger att “om en IP adress misslyckats med att logga in fler √§n 5 g√•nger under 30 minuter ska den IP adressen helt l√•sas ut fr√•n att kommunicera med Exchange Server p√• alla portar under 2 timmar”.

Attacken registreras, spåras och rapporteras via epost till systemadministartören med information om varifrfrån attacken kom med IP adress och DNS namn, när attacken inträffade,hur länge IP adressen kommer att vara låst samt vilket användarnamn som hackaren försökte använda och vad den attackerade servern heter.

Användarens konto blir alltså inte låst, hackarens attack (eller attacker om det sker från tusentals datorer) blockeras per automatik och kan inte fortsätta (och det gäller alla funktioner och tjänster som finns på serverns som t.ex. Remote Desktop, WordPress eller FTP o.s.v.)
All historik lagras i Syspeace för framtida rapporter och granskning.

Larm till systemadministratör från attacken

Från systeadministratörens sida blir det snabbt och enkelt att se om en attack pågår och om den är riktad mot företaget dvs att hackers försöker ta sig in eftersom de flesta systemadministratörer jkänner igen användarnamnen inom det egna företaget och ser direkt om attacken komemr från t.ex. Kina fast man vet att användaren ju sitter i Stockholm mitt emot honom.

Nedan är ett exempel på en attack som bleckarts och hur mailet ser ut till systemadministarörte.

√Ąmne: Syspeace Alert from ******\TS001, IP 64.27.25.31 (unassigned.calpop.com) [United States] blocked until 2015-02-08 12:40:00

Meddelande:
Blocked address 64.27.25.31 (unassigned.calpop.com) [United States] 2015-02-08 12:40:00 Rule used:
Type of block: Windows login
Rule name: Catch All Login
Trigger window: 5.00:30:00
Occurrences: 8
Lockout time: 02:00:00
Previous observations of this IP address:
2015-02-08 10:39:28 ts001\administrator
2015-02-06 20:20:24 ts001\administrator
2015-02-06 17:01:34 ts001\administrator
2015-02-06 13:42:08 ts001\administrator
2015-02-06 10:19:56 ts001\administrator
2015-02-06 06:51:45 ts001\administrator
2015-02-06 03:25:37 ts001\administrator
2015-02-05 23:55:54 ts001\administrator

Testa Syspeace eller låt mig hjälpa er att installera och licensiera Syspeace

Jag kan hjälpa er att installera Syspeace, skaffa licenser och göra konsultjpobbet för bara 850 SEK (ex moms ) per server.

I kampanjen ingår att jag installerar intrångskyddet, sätter upp det åt er samt ni får en 1 årslicens.
En licens för Syspeace kostar ungefär mostvarande ett antivirus per server dvs 73$ US Dollar per år men licensmodellen är helt flexibel och tillåter att t.ex. teckna en licens för bara 3 månader eller bara en månad eller 2 år.

Merparten av kostnaden är alltså egentligen licensen för Syspeace. Om ni även vill jag hjälper att övervaka och ta emot larm från er Syspeace kan jag givetivs hjälpa till med det och även hjälpa er med andra IT relaterade säkerhetsfrågor.

Kontakta mig

Ladda ner och testa Syspeace själv

För att testa Syspeace själv istället, ladda ner en gratis, fullt fungerande testversion i 30 dagar här.
Installtonen är oerhört enkelt att göra och tar vanligen inte mer än 2 minuter att göra utan att behöva ändra i
er infrastruktur och närverkshanteringen eller inverstera i specialiserade IDS / IPS system. Syspeace börjar
lyssna efter lösenordsattacker direkt efter ni klickat på Start knappen i Syspeace GUI. EFter ni satt upp
reglerna kan ni helt enkelt stänga Syspeace GJI.
Syspeace installeras som en Windows tjänst och sköter all övervakning av lösneordsattacker i bakgrunden och
startas upp automatisk efter omstart av servern.

Samma licensnyckel som användes vid test används även som skarp licens vid beställnig och det är också samma licensyckel för alla era servrar (t.ex Remote Desktop, SQL Server, Citrix, Sharepoint o.s.v. ).
Inget krångel med flera licenser att hålla reda på och olika löptider för licenser.

Licenserna är inte knutna till en specifik server utan kan fritt installeras och flyttas mellan servrar utifall
ni byter ut servrar,

Syspeace fungerar på Windows Server från 2013 och uppåt och Windows 7 och uppåt och stöder förutom alla windows
inloggningar även SQL Server, Exchange SMTP Authetication, WordPress samt ett flertal andra inloggningsfunktioner och det finns även möjligheten att integrera Syspeace motorn i sin egenutvecklade websida för PHP eller .NET. för t.ex. en webshop.

Att stoppa lösneordsattacker mot Windows Servrar ska inte behöva vara varken svårt eller dyrt.

Social tagging: > > > > > > >

Leave a Reply