Archives for securing exchange server

Säkerhet på Windows Server – uppdaterad

Grundläggande säkerhet på Windows server – med lite nya länkar osv

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Det här inlägget är tänkt som en slags grundläggande “checklista” när man sätter upp säkerhet på Windows Server vid nyinstallation och driftssätting.

Kortfattat behövs alla saker i den här listan som ett minimum för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. 

Absolut IT säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

 

Installerade programvaror

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution. 

Även F Secure har en Software updater som fungerat bra.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

För dem finns egentligen inget annat att göra än följa olika typer av säkerhetskanaler, läsa rekommendationer och hålla sig uppdaterad.

Antivirus

2. Se til att ha ett väl fungerande men inte allt för resurskrävande antivirus på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater men den fungerar ändå väldigt väl för systemadministratörer. Kom ihåg att sätta upp larm på virusangrepp!

Fil och katalogrättigheter på servern

3. Se till att gå igenom alla katalog och filrättigheter ordentligt och vilka användare och grupper som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat.
Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sätta upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift.
Tänk även på att inte tillåta programexekvering från “fel”  ställen t.ex %APPDATA% , %TEMP% o.s.v

Best practices, manualer .. var inte lat ..

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Snacka med folk.

Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet. När du instalerat ett program, klicka runt i menyerna och se vad du kan göra (vilka kataloger kan du “browsa till”vid “öppna” , “spara” i o.s.v. ) . Testa både som administratör och en vanlig användare. Vilka rättigheter behövs och vilka kan “tajtas åt” ?

Slå på loggning på servern

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning och drift av servern

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.
Om din server har olika typer av övervakningsagenter (ofta över SNMP)  som kommer från tillverkaren (vilket de flesta har) se till att installera dem.

De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvariga för olika typer av fel / incidenter.

Group policies och standardisering

7. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det.  Kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL och Internet

8. Om servern är nåbar från Internet (fast även gärna om den bara finns internt) , se till att ha giltiga SSL certifkat för alla tjänster som det ska kommuniceras med. Det är inte så dyrt man kan tro (nuförtiden finns även gratis SSL via Letsencrypt, även om det är lite komplicerat få det att fungera ) och det kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

9.  Se över vilka HTTP headers du använder och säkra upp även dem med t.ex Strict Transport Security,  X-Content-Type-Options, X-Frame-Options, X-Xss-Protection, X-Permitted-Cross-Domain-Policies.

Slå av onödiga funktioner och tjänster , även i en testmiljö

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Samma princip gäller för skrivare och arbetsstattioner.

Lösenordshantering och policies

11 Tvinga komplexa lösenord för alla användare. För lite tips om hur man kan komma ihåg dem har jag skrivit det här inlägget tidigare

Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösenordsattacker med Syspeace.

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök kommer behövas för att ta sig in i systemet. Det finns olika typer av skydd för att hantera ordboksattacker / lösenordsattacker / bruteforce  o.s.v

Serverns backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta.

Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och ni måste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK dvs innan intrånget skedde.

Se till att ha MINST en fungerande generation av backuperna någon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.
Att ha disksystem som RAID och andra failolver-lösningar kommer aldrig att ersätta backuper. Det finns även många olika typer av online backup lösningar och det handlar mer om pris och funktionalitet.

All hårdvara kan falera, både fysiskt och logiskt som t.ex korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar .

Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå men det är INTE en ersättning för backuper!

Scanna din server efter sårbarheter!

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Här några bra länkar jag själv använder ofta

https://www.gravityscan.com      – Scannar sårbarheter, felaktiga länkar och headers osv  Främst för WordPress och Joomla osv

https://www.ssllabs.com/ssltest/   – Kontrollera att du slagit av svaga krypton och använder ditt SSL certifikat korrekt 

https://tools.pingdom.com/ –  Hastighet på hemsidan med mera, bra tips om laddningshastigheter och vad som tynger ner osv

http://www.kitterman.com/spf/validate.html   – Kontrollera att du satt upp ditt SPF record korrekt

https://mxtoolbox.com/diagnostic.aspx  – Diverse tester av mailservrar som Open Relay o.s.v. 

https://www.microsoft.com/en-us/download/details.aspx?id=7558    – Microsoft Baseline Security Analyzer

Testa ladda ner KALI Linux och testkör de olika verktygen från den.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Brute force prevention . Skydd mot ordboksattacker, lösenordsattacker på Windows Server

16. Automatisk intrångshantering med t.ex Syspeace. I Windows går det INTE att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera ett system som Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera. Det finns flera liknande produkter dock som t.ex Cyberarms. Ur ett administrativt perspektiv så saknar tyvärr Cyberarms en del viktig funktionalitet som t.ex information om varifrån (land, DNS namn osv) attacken kom.

17. Det här hör på sätt och vis ihop med punkt 13 om backuper men se till att ha en vettig återstartsplan om något händer.

WordPress på IIS Server

18. Den här hör såklart ihop med om servern är nåbar från Internet lite längre upp och det är ett helt jätteområde i sig men några grundläggande tips är att se till att alltid uppdatera själva WordPress, alla plugins och teman, din PHP  och att installera plugins som t.ex. Wordfence . Även olika typer av cachning och URL rewrite kommer bhöva installeras och sättas upp.

 

Kontakta mig för möte, frågor eller konsulthjälp kring de här frågorna ? 

 

A new brute force protection platform – Are you up for it ?

brute force protection
I firmly believe there’s a need for good brute force protection products. The ones currently available simply aren’t good enough for larger corporate needs or Cloud Service Providers really or they’re too expensive and complicated to use..

Some possible improvements are already out there for some of them such as Cyberarms going Open Source. At the time I helped start up Syspeace, I would say that Cyberarms was the main competitor and I was really surprised and sad they eventually decided to end their business.

With that said, there’s a good foundation using their code and improving it and modernizing it because there’s a lot of critical things missing in there in order to actually be useful for enterprises the way I see it. Actually, quite a few and there needs to be new functionality in there too. Not really disclosing my thoughts here about it though.

The ways to go about this, the way I see anyway, is to …

Open Source and brute force prevention

… sit down and have a close look at for instance the Cyberarms code and help out as an Open Source developer and try to get a product that’s free and beneficial for everyone.
The downside to that is, as with most Open Source, that if you’re a system administrator and something doesn’t work, you might want to have access to an actual support, helpdesk and getting help in troubleshooting. You also may want to be assured that development will continue.
You simply don’t have the time to search forums or read through the code to try and figure out what’s wrong or how to improve it and often enough, system administrators aren’t developers. I know I’m not very good at writing code myself anyway.

There’s also the risk of people coding losing the interest of an Open Source project, since they don’t make any money out of it and eventually start feeling they’re just wasting free time, resulting in that the product will eventually just die or stay stagnant and eventually become obsolete.

Creating a new brute force protection platform as a business idea

The second path would be to start up a new project with developers, marketing people and investors to actually build a product that is useful for enterprises and cloud providers and so on. Such a product needs to have quite a lot of functionality added compared to the ones that are already out there but with the right people and effort, it can be done. I’m absolutely sure of it.
These new ideas and functionalities are probably best provided by people who actually deal with these questions on a day to day basis i.e System Administrators, Server Managers and so on…

As you may or may not know I was previously deeply involved in the creation and startup of Syspeace.
I had the original idea for a brute force protection software and was a part of most aspects it but unfortunately we just couldn’t agree on what was reasonable on the business side of it once our initial agreement ended so I decided to go with the “live and let die” policy.
It basically just took too much energy from me to haggle and not getting anywhere really and frankly, the project had become stagnant the way I saw it so consider this plan B.

The future then? Can it be made viable as a business idea?

Basically what I’m driving at is this, are there the right people out there? Anyone up for starting up a new project and try to create an even better brute force protection and security platform with me?
I have already had a few feelers with other companies and there is an interest to be part of such a project. The best scenario would probably be to get in touch with a development company that already has developers and want to broaden their portfolio with a security product but on the other hand, it can be a very small staff of people doing it too.

I’m not opposed to investing myself also and since I know the finances behind such a product and what it can generate I have a reason to believe in it, both technically and businesswise.
Remember, the market is worldwide. It’s not geographically confined and that’s why I’m actually writing this in English, although for me personally, the startup of such a project would be easier if it were in Sweden. I’m. just thinking practically.

I’ve already done it once and I believe it can be done again but even better. I’ve already seen the mistakes so to speak.
Of course, there are other ways too, such as Crowdfunding and FundedByMe and all that but I firmly believe not only do you have to have the finances settled but also be sure to have the right people involved, willing to invest their time and focus.

At the moment it’s just a thought from my side and nothing has really taken any shape (apart from registering a domain for it really) but I would hate to throw away all the ideas, knowledge and experience I have around such a project. I think I have a pretty good inkling of budgets, the business side and of course the technical aspects and functionality of what such a product should be.

So, if you’re up for it, just contact me or give me call and say hi and we’ll take it from there?

I think the time would be more or less now because I’m certain there’s stuff going on in other places too so in order to get a product up and running and get market shares, this would be the time to do it.

Ditt namn (obligatorisk)

Företag

Din epost (obligatorisk)

Telefon

Ämne (obligatorisk)

Ditt meddelande (obligatorisk)

När och hur vill ni bli kontaktade?
TelefonE PostPersonligt möteFörmiddagEftermiddagKväll

Vad gäller saken ? Välj en eller flera områden om du vill

Från när behöver ni hjälp ?

Skriv in nedanstående text för verifiering (obligatorisk)

captcha

 

Securing your datacenter – Physical aspects

Securing your datacenter - Juha Jurvanen JufCorp AB

A basic guide to securing your datacenter- part 1

This blog post is intended only as a basic guide to securing your datacenter and it’s a repost with some new stuff added into it. I also wrote a couple of follow ups to it that I will repost later.

It is not intended to be the gospel of security since, well.. let’s be honest, there is no such thing as absolute security.

As an example, in Sweden there was a case where a computer was locked in a vault, with no network access whatsoever and only a few people had access to it and still, it leaked information to foreign countries. Yes . a computer controlled by the military.

Absolute computer security is a myth and a beautiful dream. With that said, system administrators can still do a lot to make more difficult to access data and prevent attacks and sabotage to their systems.
Let’s start off with physical aspects .

The actual georgraphic location

Where is your server actually located and who has physical access to it?

Resetting administrator passwords or root passwords

Once you gain physical access to a sever, there are numerous way of accessing the data. The root password or Active Directory Domain Administrator password or NDS Admin password can be easily reset (yes, the sentence “easily reset” is used loosely) with a USB stick and booting the server. Have look a at for instance HIren’s Boot CD, Burglar for NDS or just play around with Google and search for terms such as “Reset administrator password”, “decrypt password” and so on .
You’ll be amazed when you realize how easy it actually is. Personally, I always carry with me some USB stick that enables me to boot up any system and “have my way with it”
So, we need to secure the server from outside access. The data center must be protected with card keys, cameras and access control. We need to who and why they are in the data center in the first place.For instance, a janitor or cleaning staff tends to have complete access due to what they do. Many companies hire outside help to get these kinds of jobs done.

Sabotage and disrupted data services

If I wanted to gain access to server, I would try to infiltrate one of those subcontractors to get a job as a let’s say janitor, and try to gain access to the data center somehow and from there, I can basically do what ever I wanted with the servers.
Maybe my goal wouldn’t be to steal data but to kill the data operations by corrupting the filesystems on the servers (for instance just “piping” data into various files from command prompt or hding files behind other files ), randomly switch disks on RAID systems or just put small holes in network cables to cause network errors, trigger an EMP in the data center and so on .
There would be numerous ways to disrupt the data operations, once i gained access to the data center or servers room.

Information theft

If I’m out to steal data, I would probably not target the servers themselves but instead I’d start looking for backup tapes or backup disks. Far too many companies have their backups in the same location as the servers themselves and since the backups usually are not encrypted , I’d go for stealing a complete backup set, go home and start doing a scan of the tapes to figure out what backup software was used and then do a complete restore of it all.
The backups are most likely to contain the data I’m after, although probably a maximum of 24 hours old but from them I can gain access to all kinds of information about the operations and crack administrative passwords for the server systems and so on . In the comfort of my own data center. or my couch.
This way would of require some skill of Disaster Recovery scenarios and how to get data back from backups but I’m fairly sure I’m not he only one in the world who has the expertise in those matters.

Backups are always a weak point from several aspects.

You need to know who has access to them , at all times.
If you are company that for instance have your backups shipped to another location on a daily basis or weekly, you need to know that people handling them haven’t been compromised. It wouldn’t take that long for anyone with the proper skills do clone your tapes or disks en route to their destination and you would have no way of telling they’d been cloned. In that scenario, all of your critical data would be in the wild, without you actually knowing it.

If you are using any kind of online backup service, remember to choose your encryption password wisely and be extremely restrictive with who has the password. A lot of backup software do not let you change the encryption password without doing the first backup all over again, thus doubling your usage of space and your costs.
Still , I highly recommend you use an encryption password for several reasons.
If you don’t use it, it’s just pure laziness and fear of administrative hassle and that’s just not an excuse. The risk of people at your online backup provider being able to access your data is of course also an obvious risk. Do you know these people and how could you be absolutely certain that they aren’t poking around in your data and maybe giving it to your competitors?

If you are thinking about online backups there are a few very essential questions you should ask yourself but we’ll get back to that later in another post.
Do not use the same encryption password as you have for Root / Administrator / Admin . That´s just crazy talk. Use a password generator to create a unique password. This is also very much valid for tape backups or backups on NAS / disk. Always encrypt your backups with password and be very, very restrictive with who has the password.

If an employee quits your company or an outside consultant quits his project and he / she has had knowledge of the password, change it.

If you’re doing a planned Disaster Recovery test for instance, change the administrative passwords right after the DR test , thus not enabling anyone to reuse what they’ve found out during the test
During the actual DR test, you should be there and be the one that actually types in the encryption password for the backups, not any outside technicians or consultants , not even the online backup service provider or your Disaster Recovery Service Provider. You , and you alone should be the one that has those passwords.
I’ll will return to backup questions and stuff regarding DR plans and so further down the line in some upcoming blog post
So, the conclusion is, always know who and why people are in proximity of your servers and NEVER let anyone be there alone without supervision and here’s a few more pointers.

A short cheatsheet for datacenters

  1. Always have you data center locked and secured from unauthorized access, If you have the means, also have it secured against an EMP attack from the outside. Of course, I haven’t even touched the subjects but be sure your data center has all the necessary fire prevention/extinction equipment in place, UPS backups and , if possible, also an outside source for generating current in case the UPS or battery runs out of current. There should also be a system in place for protecting you servers against spikes in current.
    Be sure to know where water pipes are running in the building so you don’t place your server directly underneath one.
  2. Don’t keep cardboard or any other kind of flammable materials in the data center. Be sure to take them with you when you’ve set up a new server or switched disks. Don’t be lazy. The cost of laziness can be extreme.
  3. In the data center, always have your servers locked in cabinets that requires keys and access card to gain physical access to keyboards and stuff. Also remember to protect the cabling and the back of the servers! Never have a server logged on the console. Be sure to have all cabling to the and from the firewall and the internet access secured.
  4. If you’re “expecting company” i.e. external consultant and so on, be sure to think abut NOT having different kinds of network maps, administrative passwords and different kinds of information in plain sight for anyone to see. I’ve seen it hundreds of times, the IT department having their entire IT operations and information of their systems on white boards or on print on documents next to their workstations. It’s very quick and easy to take a picture of it with a cell phone and once you understand the infrastructure you can also start exploring weak points in it.
    Sure , it makes their lives easier but as one might gather, it also makes the life of the attacker easier. Knowledge is a powerful weapon, especially when it comes to data protection
  5. Don’t have software laying around in the data center with software keys and stuff on them . All it takes is a mobile phone for someone to coy your license keys thus possibly putting you in an awkard situation having to explain to Microsoft for instance how come that your Volume License keys are a bit too easy to find on Piratebay, thus putting you n the risk of your licenses becoming invalid and bringing your server operations to a halt , or at least a shoer disruption.
  6. Know where your backups are, at all times. Have them encrypted. If using online backup services, be sure to use an encryption key and , if possible, be sure to have restrictions on the online backup service providers end on to and from where backups and restores are allowed
  7. Do not allow mobile phones in the data center due to the risk of people photographing your equipment or software license keys or using the mobile phones to copy data via USB cables and stuff.
  8. If possible, disable any USB ports on your servers. This can be done in the BIOS (and of course also have a sysmtem password for accessing the BIOS, a unique one for each server ) or you can physically kill it by putting glue or semothing in there (I haven’t tried that myself so do try at your own risk .. )
  9. If you are sharing a data center with others, there is no need for you to have your company logo or anything revealing the servers are yours. Keep it as anonymous as possible. There is also no need for you to tell anyone where your servers are physically located (although it can be fairly easy for anyone to fin out using traceroute commands and so on ),
  10. Be sure to have a Disaster Recover Plan (DRP ) / Business Continuity Plan (BCP) if your site is compromised or an accident should occur. Also in this case, treat the secondary DR location as mission critical data. Far too often, the secondary site is forgotten and poorly updated.
  11. Once again, do not underestimate the powers of social engineering. Although it’s not hacking in the usual sense, it’s merely good acting but it can still be as harmful as I’m trying to point out here

So, there’s a few tips anyway and that’s just the start really. It’s not a complete recipe for securing your physical environment and I’m sure I’ve missed out loads of stuff but it’s a start anyways.

I hope you you liked this post and I’d love to hear you thoughts on it and if you want me to write a few others on the matters of securing your server operations, I was thinking in the lines of brute force protection, change management, 0day attacks, certificate management , password policies, protecting web servers and so on , You get the picture 🙂

// Juha Jurvanen

Contact me

Senior consultant in backup, IT security, server operations and cloud

Syspeace rapport – Exchange Server attackerad över 400 gånger på några timmar

konsult inom backup It säkerhet molntjänster och infratruktur Att göra en server nåbar över Internet , oavsett vad den gör, kommer per automatik att att göra den till måltavla för olika typer av intrångsförsök.
Det finns många olika typer av intrångsförösk och även med olika syften. En del attacker handlar om att på ena eller andra sättet få kontroll över hårdvara som CPU, RAM, Disk för att användas i andra attacker. Andra attaker syftar till att stjäla data och en del försöker bara använda t.ex. en mail server för att gör s.k. realying d.v.s skicka SPAM meddelanden eller andra mail via en mailserver för att inte riskera att ens egen IP adress bli svartlistad. Här är en tidigare artikel jag skrev om olika typer av hacking attacker . OBS . På engelska.

Den här listan nedan är ett bra exempel på precis en sån attack som inträffade igår och är en automatisk genererad Syspeace rapport som kommer per mail till systemaadministratören.
Varje rad är alltså en Ip adress som försökte använda min mailserver till att skicka ut SPAM mail .
Samtliga attacker blockerades dock automatisk av Syspeace.
Notera gärna timmarna mellan kl 08 – 12 längre ner i sammanställningen på antalet attacker per timme.

Report for 2015-05-12

IP address Times Host name and country
——————– —– ——————————-
1.52.87.190 3 ; Vietnam (VN)
1.52.122.126 3 ; Vietnam (VN)
2.186.14.221 3 ; Iran, Islamic Republic of (IR)
2.189.154.42 3 ; Iran, Islamic Republic of (IR)
5.219.42.205 3 ; Iran, Islamic Republic of (IR)
5.223.24.99 3 ; Iran, Islamic Republic of (IR)
5.223.104.20 3 ; Iran, Islamic Republic of (IR)
5.251.38.50 2 ; Kazakhstan (KZ)
14.99.136.249 3 static-249.136.99.14-tataidc.co.in; India (IN)
14.161.37.108 3 mail.ttp.net.vn; Vietnam (VN)
14.169.155.10 3 ; Vietnam (VN)
14.169.222.5 3 ; Vietnam (VN)
14.177.134.252 2 ; Vietnam (VN)
27.3.128.183 3 ; Vietnam (VN)
27.77.34.63 3 ; Vietnam (VN)
27.77.135.131 3 ; Vietnam (VN)
27.77.144.136 2 ; Vietnam (VN)
27.79.105.254 3 ; Vietnam (VN)
27.105.42.42 3 27-105-42-42-adsl-khh.dynamic.so-net.net.tw; Taiwan (TW)
27.106.116.239 3 239.116.106.27-n4um-net4uindia.net; India (IN)
36.37.145.176 3 ; Cambodia (KH)
36.83.229.50 2 ; Indonesia (ID)
37.212.120.220 3 ; Belarus (BY)
37.215.118.21 3 ; Belarus (BY)
37.237.204.87 3 ; Iraq (IQ)
39.32.30.128 3 ; Pakistan (PK)
41.252.185.60 2 41.252.185.60.adsl.km4.dynamic.ltt.ly; Libya (LY)
41.254.2.208 3 41.254.2.208.zte-tip.wimax.dynamic.ltt.ly; Libya (LY)
41.254.9.101 2 ; Libya (LY)
46.99.147.11 3 ; Albania (AL)
46.100.132.7 3 ; Iran, Islamic Republic of (IR)
58.187.106.146 3 ; Vietnam (VN)
59.88.207.6 2 ; India (IN)
59.90.243.106 2 static.chennai.mp.59.90.243.106/21.bsnl.in; India (IN)
59.95.143.222 3 ; India (IN)
59.97.206.213 3 ; India (IN)
59.98.1.61 3 ; India (IN)
60.172.95.98 1 ; China (CN)
77.242.28.138 3 ; Albania (AL)
77.247.94.71 2 ; Albania (AL)
78.8.153.141 3 dynamic-78-8-153-141.ssp.dialog.net.pl; Poland (PL)
78.110.160.161 4 logistics1.openearth4.com; United Kingdom (GB)
78.152.183.58 2 ; Ukraine (UA)
79.106.12.167 3 ; Albania (AL)
79.129.40.59 2 scdental.static.otenet.gr; Greece (GR)
83.111.204.10 1 ; United Arab Emirates (AE)
85.96.192.37 3 85.96.192.37.static.ttnet.com.tr; Turkey (TR)
85.113.53.5 3 dynamicip-85-113-53-5.pppoe.samara.ertelecom.ru; Russian Federation (RU)
88.248.172.102 3 88.248.172.102.static.ttnet.com.tr; Turkey (TR)
92.55.100.130 3 ; Macedonia (MK)
93.74.5.218 3 ambassador.appraise.volia.net; Ukraine (UA)
93.91.194.24 3 ; Iraq (IQ)
93.117.11.244 3 ; Romania (RO)
94.178.105.94 3 94-105-178-94.pool.ukrtel.net; Ukraine (UA)
95.56.242.70 2 ; Kazakhstan (KZ)
95.188.132.199 2 ; Russian Federation (RU)
95.188.138.142 3 ; Russian Federation (RU)
103.14.251.218 3 218.loopback.sinet.com.kh; Cambodia (KH)
103.23.51.24 3 ; Mongolia (MN)
103.39.156.142 3 ; N/A (–)
103.247.239.55 3 ; Bangladesh (BD)
104.149.254.98 3 ; N/A (–)
108.13.189.113 1 static-108-13-189-113.lsanca.fios.verizon.net; United States (US)
109.66.42.117 3 bzq-109-66-42-117.red.bezeqint.net; Israel (IL)
109.188.125.10 3 client.yota.ru; Russian Federation (RU)
109.188.126.4 2 client.yota.ru; Russian Federation (RU)
113.160.225.43 3 static.vdc.vn; Vietnam (VN)
113.162.122.116 3 ; Vietnam (VN)
113.163.99.246 3 dynamic.vdc.vn; Vietnam (VN)
113.169.5.43 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.12.8 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.44.52 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.53.185 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.186.108.210 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.191.253.254 3 dynamic.vdc.vn; Vietnam (VN)
113.193.189.62 1 ; India (IN)
115.72.235.46 3 adsl.viettel.vn; Vietnam (VN)
115.85.46.82 3 82.46.85.115.dsl.service.eastern-tele.com; Philippines (PH)
115.97.81.229 2 ; India (IN)
115.118.237.21 3 115.118.237.21.static-mumbai.vsnl.net.in; India (IN)
115.248.39.17 3 ; India (IN)
116.106.42.185 3 ; Vietnam (VN)
116.111.6.136 3 ; Vietnam (VN)
116.111.65.141 3 ; Vietnam (VN)
116.111.110.135 3 ; Vietnam (VN)
116.111.202.214 3 ; Vietnam (VN)
116.118.39.241 1 ; Vietnam (VN)
116.202.34.111 3 ; India (IN)
117.6.209.45 3 ; Vietnam (VN)
117.192.221.94 2 ; India (IN)
117.196.150.228 3 ; India (IN)
117.197.98.6 1 ; India (IN)
117.197.103.89 2 ; India (IN)
117.200.120.8 2 ; India (IN)
117.206.187.240 2 ; India (IN)
117.206.190.40 3 ; India (IN)
117.207.48.68 2 ; India (IN)
117.217.112.199 3 ; India (IN)
117.217.132.132 3 ; India (IN)
117.220.153.136 2 ; India (IN)
117.222.68.125 2 ; India (IN)
117.223.117.142 3 ; India (IN)
117.242.204.189 2 ; India (IN)
118.71.185.84 3 ip-address-pool-xxx.fpt.vn; Vietnam (VN)
118.137.210.68 3 fm-dyn-118-137-210-68.fast.net.id; Indonesia (ID)
119.59.122.239 2 ; Thailand (TH)
120.60.134.142 3 triband-mum-120.60.134.142.mtnl.net.in; India (IN)
120.72.88.221 3 ; India (IN)
120.206.3.2 2 ; China (CN)
122.160.41.49 3 abts-north-static-049.41.160.122.airtelbroadband.in; India (IN)
122.161.169.72 2 abts-north-dynamic-072.169.161.122.airtelbroadband.in; India (IN)
122.169.71.69 2 abts-mum-dynamic-069.71.169.122.airtelbroadband.in; India (IN)
122.176.9.144 2 abts-north-static-144.9.176.122.airtelbroadband.in; India (IN)
123.20.208.52 3 ; Vietnam (VN)
123.23.107.243 2 ; Vietnam (VN)
123.23.119.68 3 ; Vietnam (VN)
123.26.33.67 3 EUROPA.JUFCORP.COM; Vietnam (VN)
124.248.189.95 3 fiber-189-95.online.com.kh; Cambodia (KH)
139.228.227.58 3 fm-dyn-139-228-227-58.fast.net.id; Indonesia (ID)
151.233.102.88 3 ; Iran, Islamic Republic of (IR)
159.224.41.1 3 1.41.224.159.triolan.net; Ukraine (UA)
171.224.128.102 3 ; Vietnam (VN)
171.224.192.59 3 ; Vietnam (VN)
171.249.123.136 2 ; Vietnam (VN)
178.90.76.90 3 178.90.76.90.megaline.telecom.kz; Kazakhstan (KZ)
178.91.64.52 3 178.91.64.52.megaline.telecom.kz; Kazakhstan (KZ)
178.91.90.125 3 178.91.90.125.megaline.telecom.kz; Kazakhstan (KZ)
178.122.98.193 2 mm-193-98-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
178.122.120.116 1 mm-116-120-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
179.24.79.20 3 r179-24-79-20.dialup.adsl.anteldata.net.uy; Uruguay (UY)
182.56.2.58 3 static-mum-182.56.2.58.mtnl.net.in; India (IN)
182.56.164.66 2 static-mum-182.56.164.66.mtnl.net.in; India (IN)
182.56.207.163 2 static-mum-182.56.207.163.mtnl.net.in; India (IN)
182.68.19.114 1 abts-north-dynamic-114.19.68.182.airtelbroadband.in; India (IN)
185.23.124.43 3 ; Saudi Arabia (SA)
188.121.117.89 3 ; Iran, Islamic Republic of (IR)
190.81.45.19 3 ; Peru (PE)
190.187.12.84 3 ; Peru (PE)
190.239.96.110 3 ; Peru (PE)
191.101.31.118 1 ; Chile (CL)
193.110.72.211 3 ; Ukraine (UA)
193.238.128.178 4 193.238.128.178.sta.211.ru; Russian Federation (RU)
194.158.210.210 3 ; Belarus (BY)
197.200.18.195 2 ; Algeria (DZ)
202.63.116.173 3 173-116-63-202.southernonline.net; India (IN)
203.189.159.71 3 ; Cambodia (KH)
211.99.28.17 2 ; China (CN)
212.34.12.182 3 ; Jordan (JO)
212.164.234.254 2 b-internet.212.164.234.254.nsk.rt.ru; Russian Federation (RU)
213.55.109.85 2 ; Ethiopia (ET)
213.55.115.35 4 ; Ethiopia (ET)
213.110.98.167 3 ; Ukraine (UA)
213.230.77.71 3 71.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.48 2 48.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.223 3 223.64.uzpak.uz; Uzbekistan (UZ)
213.230.83.74 1 74.64.uzpak.uz; Uzbekistan (UZ)
217.12.116.218 3 static.217.12.116.218.tmg.md; Moldova, Republic of (MD)
217.146.251.100 3 207302.user.farlep.net; Ukraine (UA)
220.231.122.253 3 ; Vietnam (VN)
222.74.81.42 2 42.81.74.222.broad.wh.nm.dynamic.163data.com.cn; China (CN)
222.252.223.2 3 ; Vietnam (VN)

Hourly breakdown (blocks per hour)
00 x4
01
02 x2
03 x1
04 x2
05 x1
06
07 x1
08 x69
09 x64
10 x13
11 x252

12 x4
13 x1
14 x2
15
16 x2
17 x3
18
19
20 x2
21 x4
22
23

Generated 2015-05-13 00:04:01 for machine europa.jufcorp.com by Syspeace v2.5.2.0

För mer information om hur du kan skydda era servrar från ordboksattacker , kontakta mig här

Grundläggande säkerhet på Windows server

Grundläggande säkerhet på Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Det här inlägget är tänkt som en slags grundläggande “checklista” när man sätter upp säkerhet på Windows server vid nyinstallation och driftssätting.

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut IT säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

 

Installerade programvaror

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution. Även F Secure har en Software updater som funegrat bra.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

För dem finns egentligen inget annat att göra än följa olika typer av säkerhetskanaler och hålla sig uppdaterad.

Antivirus

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

Fil och katalogrättigheter på servern

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat.
Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sätta upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift.
Tänk även på att inte tillåta programexekvering från “fel”  ställen t.exx %APPDATA% , %TEMP% o.s.v

Bets practices, manualer .. var inte lat ..

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Snacka med folk.

Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet. När du instalerat ett program, klicka runt i menyerna och se vad du kan göra (vilka kataloger kan du “browsa till”vid “öppna” , “spara” i o.s.v. ) . Testa både som administratör och en vanlig användare. Vilka rättigheter behövs och vilka kan “tajtas åt” ?

Slå på loggning på servern

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning och drift av servern

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.
Om din server har olika typer av övervakningsagenter (ofta över SNMP)  som kommer från tillverkaren (vilket de flesta har) se till att installera dem.

De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

Group policies och standardisering

7. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL och Internet

8. Om servern är nåbar från Internet (fast även gärna om den bara finns internt) , se till att ha giltiga SSL certifkat för alla tjänster som det ska kommuniceras med. Det är inte så dyrt man kan tro (nuförtiden finns även gratis SSL via Letsencrypt, även om det är lite komplicerat få det att fungera ) och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

9.  Se över vilka HTTP headers du använder och säkra upp även dem med t.ex Strict Transport Security,  X-Content-Type-Options, X-Frame-Options, X-Xss-Protection, X-Permitted-Cross-Domain-Policies.

Slå av onödiga funktioner och tjänster , även i en testmiljö

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Samma princip gäller för skrivare och arbetsstattioner.

Lösenordshantering och policies

11 Tvinga komplexa lösenord för alla användare. För lite tips om hur man kan komma ihåg dem har jag skrivit det här inlägget tidigare

Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösneordsattacker med Syspeace.

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök kommer behövs för att ta sig in i systemet. Det finns olika typer av skydd för att hantera ordboksattacker / lösenordsattacker / bruteforce  o.s.v

Serverns backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta.

Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.

Se till att ha MINST en fungerande generation av backupern någon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.
Att ha disksystem som RAID och andra failolver-lösningar kommer aldrig att ersätta backuper. Det finns även många olika typer av online backup lösningar och det handlar mer om pris och funktionalitet.

All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar .

Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå men det är INTE en ersättning för backuper!

Scanna din server efter sårbarheter!

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Här några bra länkar jag själv använder ofta

https://www.gravityscan.com      – Scannar sårbarheter, felaktiga länkar och headers osv  Främst för WordPress och Joomla osv
https://www.ssllabs.com/ssltest/   – Kontrollera att du slagit av svaga krypton och använder ditt SSL certifikat korrekt 
https://tools.pingdom.com/ –  Hastighet på sidan med mera, bra tips om laddningshastigheter osv
http://www.kitterman.com/spf/validate.html   – Kontrollera att du satt upp ditt SPF record korrekt
https://mxtoolbox.com/diagnostic.aspx  – Diverse tester av mailservrar som Open Relay o.s.v. 
https://www.microsoft.com/en-us/download/details.aspx?id=7558    – Microsoft Baseline Security Analyzer

Testa ladda ner KALI Linux och testkör de olika verktygen från den.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Brute force prevention . Skydd mot ordboksattacker, lösenordsattacker på Windows Server

16. Automatisk intrångshantering med t.ex Syspeace. I Windows går det INTE att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera ett system som Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

17. Det här hör på sätt och vis ihop med punkt 13 om backuper men se till att ha en vettig återstartsplan om något händer.

WordPress på IIS Server

18. Den här såklart ihop med om servern är nåbar från Internet lite längre upp och det är ett helt jätteområde i sig men några grunläggande tips är att se till att alltid själva wordpress, alla plugins och teman, din PHP  och att installera plugins som t.ex. Wordfence . Även olika typer av cachning och URL rewrite kommer bhöva installeras och sättas upp.

 

Kontakta mig för möte, frågor eller konsulthjälp kring de här frågorna ? 

 

How to battle slowgrind #bruteforce attacks against #msexchange #windows server #remotedesktop #sharepoint with #Syspeace

Syspeace automatically blocks attacks that occur according to the rules.
The default rule is that if an intruder fails to login more than 5 times within 30 minutes, the intruders IP address is blocked, tracked and reported for 2 hours and simply is denied any access to the server.

A new trend though has emerged and that is for bruteforce attackers to “slowgrind” through servers, trying to stay “under the radar” really from IDS/IPS HIPS/HIDS such as Syspeace.
They’ve got thousands and thousands of computers at their disposal so they’ll basically just try a few times at each server and then move on to next one in the IP range or geographical location hoping not to trigger any alarms or hacker countermeasures in place.

An easy way to battle this is actually simply to change the default rule in Syspeace from the time windows of 30 minutes to for example 5 days.

This way , I’m pretty sure you’ll see there are quite a few attackers that only tried 2 or three times a couple of days ago and they’re back again but still only trying only a few times.

With the “5 day” windows, you’ll catch and block those attacks too.

Here’s actually a brilliant example of an attack blocked, using a 4 day window.

Blocked address 121.31.114.99() [China] 2014-08-11 15:06:00
Rule used (Winlogon):
        Name:                   Catch All Login
        Trigger window:         4.00:30:00
        Occurrences:            5
        Lockout time:           02:00:00
        Previous observations of this IP address:
        2014-08-11 13:05:51     aksabadministrator
        2014-08-10 22:06:48     aksabadministrator
        2014-08-10 06:39:12     aksabadministrator
        2014-08-09 15:39:52     aksabadministrator
        2014-08-09 00:32:05     aksabadministrator

Syspeace has blocked more than 3 285 300 intrusion attempts against Windows Servers worldwide so far.

Syspeace - intrusion prevention for Windows servers

Syspeace website

#infosec Is there a need for intrusion prevention for Windows Servers like #Syspeace?

Syspeace icon

Syspeace icon

What is a brute force attack or dictionary attack really and how would Syspeace help?

Essentially it is someone who is trying to guess the right combination of username and password to gain access into your serveers for example a Microsoft Exchange Serve and the OWA (Outlook Web Access), Terminal Server/RDS (Remote Desktop Server), Sharepoint, SQL Server, Citrix and so on.

The attacker uses automated software to try to guess the right combination to be able to login and steal data or to elevate their rights. One attack can render in thousands of login attempts, it can go on for hours or days and it is a heavy load for the server to handle that in regards of CPU, RAM, network traffic and so on.
Each login request has to validated and checked if it is legitimate or not.

A comparison of a brute force attack and the real world be be this (this is an excerpt from the Syspeace website)

Imagine that your company has a physical facility. If someone repeatedly tries to gain access with a fake key or invalid key card, you would expect that your security guards would notice and not let the intruder through

Aren’t there builtin protection into Windows Server against these attacks ?

In short. No.
The only built in mechanisms in Windows Servers are basically the ability to enforce strong passwords and to enable account lockout.

To enable strong passwords is a good thing, even if you’re running an intrusion prevention software for Windows like Syspeace.
If you have easy-to-guess passwords, it won’t really matter what protection you’re sunning since if a login is valid, no software would block it anyway. A valid username and password is always a valid login. So, please ensure you require users to use strong and complex passwords and allow for Syspeace to capture the attack.

The second method , ie. account lockout, might actaully do you more harm than good and here’s why.
If the system you’re protecting is for instance an Exchange Server or an RDS Server and it is probably facing he Intenet to provide service for your users or customers. To figure out a username doesn’t have to be that complicated fo an attacker. They’ll first try to understand the email policy naming convention, scavenge the Internet for metadata and the simply start trying to login using the email address as the username (since this is quite often a valid login name) and try guess to guess the password.

If you’ve enabled the Account Lockout Policy the affected users accounts will be constantly locked since the attacker will automate the attack and try thousands of time for each user they know are in the system.

If you’ve been hit with an attack and it is just from a single IP address, you’d probably just block it in the Windows Firewall (or the external firewall) and unlock the affected users accounts and that’s it. Hopefully you’d also report it.

Now, what if the attack is actually done from hundreds or thousands of computers at the same time ? Blocking them manually isn’t really an option is it ?
One simple and quick solution is to download the fully functional trial of Syspeace , install it and have Syspeace block, track and report the attack.

How can Syspeace help as an Intrusion Prevention for Windows Servers and do I set it up?

The idea behind Syspeace is the ease of use and independence from other software and appliances and also not to enforce a change in your network or infrastructure.

Some systems require you to change your entire infrastructure and put for instance a high performing proxy appliance or server in front of the network. Other systems are bundled with antivruses and other systems, requiring you use consultants and experts to get the systems running.

Syspeace is simply installed on the servers you want to protect. The installation process takes about 4-5 minutes maximum and that’s it. You’re done. The server is protected against brute force attacks. Out of the box.
Th Syspeace GUI is easy to understand and easy to manage. You don’t have to be a security expert to manage Syspeace.

If you want to move a Syspeace license from one server to antoher , that’s also easily done thanks to the floating licensing model within Syspeace. The length of the license can also vary so you’re not forced into buying a 1 year license if you don’t want to . You can a license fo 1 month. or 3 months, Whatever suits your needs.

The pricing of Syspeace is more or less equivavlent to an antivirus and it is a per-server based licensing so it’s not based up on the number of users you’re servicing. 1 license, 1 server. That’s it.

These are some of the features included in Syspeace

.

Secure login attempts on Windows server
The Windows server is secured by watching the result of the Logon process. If multiple logon attempts fails, actions can be taken. This works on Windows Server 2003 and on and is also automatically protection for Remote Desktop Services, Sharepoint, Exchange OWA, Citrix and basically anthing that renders an eventid of 4635 or eventid 529 (we do monitor more events also)

Secure login to Exchange Serevr SMTP connectors
The Exchange server is usually exposed by the OWA web site that is a part of Exchange. Syspeace not only protects the OWA but also logon attempts made by connectors.

Secure login to SQL Server
Many SQL-server installations expose a logon-possibility either by AD-integration or by logon by using SQL Authentication. Syspeace protects both methods

Multiple customizable rules
Syspeace can be tailored to fit your specific needs by customizing the rule-base. The rules are executed in real-time on all successful and unsuccessful logon attempts and appropriate measures are taken.

Send mail when a block is done
Whenever a block (rule) is entered in the firewall, you have the option to be notified by mail.

Send daily mail with aggregated intrusion information both as plain text and attached CSV file
Each day, there is a summary created that you can have mailed to you or the people that you see will benefit from it.

Send weekly mail with aggregated intrusion information both as plain text and attached CSV file
If the daily summary is too granular, a weekly summary is also available in the same way.

Uses local whitelist
Some computers should never be blocked in your environment. These computers can be listed in a local Whitelist so that Syspeace will never block these IP addresses.

Uses local blacklist

The local blacklist is a opportunity to force a block to a specific set of computers that you never want to connect to your server.

Uses global blacklist
Syspeace comes with a Global Blacklist. This list is maintained by Syspeace central servers and distributed once a day to your Syspeace installation. The Global Blacklist contains computers that have tried to break the security on many other sites that run Syspeace.

Searchable log of login/intrusion attempts
Syspeace have the ability to in a very easy way present information about who is attacking you and when it happened. The data is searchable, aggregated and presented in a matter of a few simple clicks.

View information on why a block was made
A block may be initiated from many different sources. Together with the block is also information stored about the origin. It is always possible to back track a block.

Access report to quickly find related information in the attempt log
The Access report takes the reporting to a new level. Here, it is possible to further aggregate and investigate what happens to your server.

Updates are free and new features are included. We’ve also released the ability write your own Syspeace Detectors thurough the Syspeace API to protect for instance a webapplication or write a special detector for your Windows applications.

Who should use Syspeace then ?

Syspeace isn’t targeted at any special types of environments or companies, we believe that Syspeace is a natural part to use for any server administrator, regardless of if you’re a Cloud Service provider or managing you own servers or if you’re an outsourcing company, hosting company or even if the servers are physical or virtual.
Syspeace can help in any scenario so the short answer is, any system admininstrator managing a Windows Server from Windows Server 2003 and on really.

It is not a “silver bullet” for security but a piece of the security puzzle we believ you’ll need to ensure the protection of your users or customers and it solves a problem easily that no one hasn’t really been able to handle earlier.

If yuu’re up for reading more about intrusion prevention for Windows Servers, please have a look at the earlier articles written here on this blog or have simply go to the Syspeace website for more information and download a trial.

Syspeace - intrusion prevention for Windows servers

Syspeace website

Block intrusion attempts against #windowsserver with Syspeace

http://www.syspeace.com/syspeace-protection/

Syspeace for internal brute force protection on Windows Servers

After installing Syspeace , the tech guys started getting notifications that their Exchange Server was trying to login to another server and it was rejected. There was no reason for this server to do so whatsoever and it had not been noticed earlier so it’s hard to say when it actually started.

After disabling the whitelist for the LAN at the customer site they started getting mail notifications that every workstation on their LAN was actually trying to login to various servers using various usernames and password, hence a brute force attack/dictionary attack from the inside.

Most likely a trojan has been planted somewhere and it has infected the rest.

This is a fairly simple example of how Syspeace can actually reveal a security breach a customer wasn’t even aware of had occured.

It is totally up to any customer to use whitelists for the LAN but as a precaution, I personnally wouldn’t recommend it since it acutally gives you a great heads up that something has happened if a computer or multiple computers suddenly starts to try and login to servers they’re not supposed to.

As a system administrator, you get the chance to get attack automatically blocked, logged, traced and reported and you can have a closer at the computer responsible for the attack or have a word the user to see what’s going on.

You can even create extensive reports on all activity originating from that user or computer using the Access Reports section in Syspeace to get a more clear view on how long it’s been trying and so on.

Since Syspeace automatically protects failed logins using Winlogon authentication, your Windows servers are also protected from computers/users trying to use the “net use” or “map network drive” with invalid logon credentials trying to acces shares they’re not supposed to.

If you don’t have processes in place for scanning logs, saving them and monitoring every login activity, it will become grusome task to even know if there’s something going on at all. You simply won’t have the tools to do so.

Have your own servers run the fully functional Syspeace free trial and see if you get any unexpected login failures from the internal network and from Internet.
You might be surprised.

By Juha Jurvanen

Syspeace

Syspeace 2.3.0 released today – improved support for SQL Server on Windows Server 2003

We’re proud to annonuce the next release of Syspeace today!

For more details, please refer to http://www.syspeace.com/free-download/version-info/syspeace-230/

Provides Windows Server 2003 support for SQL Server-based blocking, a better interface for viewing current and possible blocks and improves behavior when Syspeace servers are unreachable. For more information about all improvements, see the full release notes.

New features
Syspeace now supports SQL Server-based blocking on Windows Server 2003.
The list in the status window has been replaced with a new list, containing a summary of current blocks and suspected upcoming blocks.
Suspected upcoming blocks refers to observed failed logins that have yet to trigger a rule.
For current blocks, the observed failed logins that triggered a rule are shown.
Single IP address entries show the geographical location if available.
The list can be filtered in the bottom left of the window. Current blocks based on observations are always shown. Blacklisted IP addresses can be shown or hidden.
IP addresses can directly be added to the local blacklist, removed from the local blacklist and added to the whitelist from the info pane directly. Current blocks can also be forgiven (the block is removed and the IP address’ failed login record starts over).

Other improvements
When the Syspeace client is started and there are Windows login rules enabled, Syspeace will check to make sure that the current security policy will allow logon failure audit events to be produced and warn if this is not the case. Without this properly set, Syspeace will not be able to detect Windows login failures.
The description for each entry in the local blacklist and whitelist can now be changed without having to recreate the entry.
Duplicate entries for IP addresses can no longer be added in the local blacklist and whitelist.
Syspeace’s behavior and stability when the Syspeace backend and license server is unreachable is improved.
Changes to bring the size of the local database down.
Fixed a bug preventing the removal of the ban corresponding to the last blacklist entry.
Improved migration from Syspeace 1.1.*.