Archives for syspeace

Skydda FTP Server från lösenordsattacker

Skydda FTP Server från lösenordsattacker

backup disaster recovey konituitetsplaner FTP Server IT säkerhet molntjänster syspeace
Ett vanligt sätt att ge kunder tillgång till data, eller ha sitt data hemma tillgängligt, är att sätta upp en FTP Server.
En av de vanligaste torde vara FileZilla FTP Server som är gratis eller att använda den inbyggda FTP Servern i Microsoft IIS.

Det är klokt att ytterligare säkra upp sin FTP med SSL certifikat för att skydda inloggningsinformationen från avlyssning men även om man gör detta så finna själva inkggingsporten där och hackers kommer att försöka komma åt den.

Det är även klokt att dölja vilken version av FTP man kör som ett generellt tips. dvs ta bort headerinformationen för att göra det svårare för en hacker att lista ut vilka sårbarheter som just er FTP server har.

Lösenordssattacker mot FTP

Lösenordsattacker bygger helt enkelt på principen att en hacker försöker gissa sig till ett giltigt användarnamn och lösenord med hjälp av automatiserade verktyg.
En attack kan vara allt från några hundra försök till flera tusen och även från flera hundra eller tusen IP adresser samtidigt.

I FileZilla finns ett enklare inbyggt skydd mot lösenrdsattacker på just bara FTP nivå medan det i Microsoft IIS FTP i princip inte går att skydda sig mot dessa. Se t.ex. den här artikeln om lösenordsattacker på Wndows.

Syspeace för FTP server

Med hjälp av Syspeace och medföljande s.k. detectors kan man enkelt och snabbt sätta upp sin FTP server att även skyddas av Syspeace.

Vid en attack kommer angriparens IP adress att helt låsas ute på servern från all kommunikation vilket gör att du i ett svep även skyddar alla andra tjänster som är aktiva på servern / datorn.

Som systemadministratör får du ett mail varje gång en attack låses ute med enkel och överskådlig information som från vilken IP adress och DNS namn attacken gjordes, vilket land och vilket användarnamn som de försökte använda. Här är ett exenpel på ett sånt larm

Blocked address *.*.*.* (*.*.*) [Vietnam] 2015-02-23 14:53:00 Rule used:
Type of block: FileZilla FTP
Rule name: Catch All Login
Trigger window: 5.00:30:00
Occurrences: 5
Lockout time: 02:00:00
Previous observations of this IP address:
2015-02-23 12:52:32 administrator
2015-02-23 07:56:23 admin
2015-02-23 05:02:39 guest
2015-02-20 22:09:46 anonymous
2015-02-20 22:09:45 anonymous@jufcorp.com

Syspeace detectors

Till Syspeace finns idag ett flertal färdiga detectors för FTP, IIS FTP, WordPress och även stöd för .NET , ASP , PHP för utvecklare av webbsidor som vill skydda inloggningar med hjälp av Syspeace istället för att behöva skriva all logik och historikhantering själva.

Kontakta mig för möte

Kopiera och exportera Syspeace inställningar för en ny installation

Syspeace export

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Syspeace har en inbyggd funktrion för att kopiera och flytta eller duplicera installationer mellan servrar då man som systemadministratör ofta vill använda ungefär samma inställningar och slippa krånga med att söka licensnycklar, mail inställningar o.s.v.
Funktionen att exportera Syspeace har funnits inbyggd sedan många versioner och används med fördel för företag och molnleverantörer med många servrar och Syspeace installationer.

Videon nedan visar hur man enkelt exporterar alla inställningar för Syspeace inklusive licensnyckeln.

Syspeace import

1. Installera Syspeace, .
2. Stoppa Syspeace tjänsten
3. Kopiera in filen defaultSettings.syspeaceSettings till katalogen där Syspeace installtion finns. (standrad är C:\Program Files\Treetop\Syspeace).
4. Starta Syspeace tjänsten.
5. Syspeace kommer automatiskt at läsa in licensen och andra inställningar från filen

Kontakta mig för möte

Hitta, exportera och spåra inloggningar i Windows

Inloggningar i Windows för företag, molnleverantörer och driftsbyråer

backup disaster recovey koninuitetsplaner IT säkerhet molntjänster syspeace
För alla företag, driftsbyårer och molnleverantörer är det viktigt att kunna ta fram olika typer av rapporter för hur användare och kunder varit inloggade. Om du har satt upp åtkomst till din Windows PC med Remote Desktop är det här också relevant.
Tyvärr är det komplicerat att hitta och spåra inloggningar i Windows. Det går att göra men är ganska tidskrävande,

För ett företag kan det handla om t.ex. att se om en viss person verkligen har jobbat under den perioden som den påstår och varifrån.
Om det är någon som reser mycket eller varit borta mycket men på lite oklara grunder måste det finnas en möjlighet för arbetsgivaren att kontrollera när och varifrån någon varit inloggad utifall en varning behöver ges och man vill ha underlag för det.

Ur säkerhetssynpunkt vill man också veta om t.ex. någon före detta anställd försökt använda sitt konto efter de blivit uppsagda och kontot har stängts då det kan handla om framtida rättsliga åtgärder p.g.a. försök till dataintrång.
Vilket företag vill ha sin kunddatabas på vift till en före detta säljare som kanske gått till en konkurrent?

Ge kunderna rapporter och statistik för driftsbyrårer och molnleverantörer

Som driftsbyrå eller molnleverantör kan behovet av att kunna ge kunderna den informationen vara viktig som en tredje, obeorende part men även att själva kunna filtrera ut alla inloggningar från en viss IP adress eller filtrera ut alla inloggningar som inte innehåller ett visst användarnamn t.ex. “juha.jurvanen”. I vissa fall vill man även kunna påvisa för en kund att de verkligen har nyttjat ens tjänster utfiall man hamnat i en dispyt kring användadet och fakturor.

De inbyggda funktionerna i Windows

De inbyggda mekanismerna i Windows är väldigt begränsade för den här typen av hantering.
För att se om t.ex. “juha.jurvanen” varit inloggad så öppnar man Windows Event viewer och loggen Security , högerklicka och väljer “Find”.

Här kan man söka t.ex. alla händelser som innehåller “juha.jurvanen” eller en viss IP adress.

Listan man får upp är varje händelse för sig i en lång lista och innehåller egentligen bara rådata på varje rad.
För varje träff i loggen kan man sedan trycka nästa och se nästa träff i loggen.
Sökningen tar lång tid och loggen skrivs per automatik över om den blir för stor.
Man har alltså inte kvar så länge och den kan rensas av någon med administrativa rättigheter som kanske inte vill att informationen ska kunna tas fram.

Det finns inget sätt att exportera t.ex. bara de logghändelser som innehåller just “juha.jurvanen” utan valet som finns är att exportera alla händelser eller några manuellt utvalda, händelse för händelse.

Formaten att exportera till är en egen loggfil med filändelsen .evtx (eller .evt i Windows Serevr 2003), .csv, textfil eller xml.
De filerna kan i sin tur importeras till t.ex. Excel och filtreras, sökas och formateras.

Informationen i sig är som sagt bara rådata och ger ingen överblick om t.ex. varifrån inloggningen kom. Det får man undersöka i efterhand med t.ex. WHOIS o.s.v

Möjligheten att göra en sökning direkt i loggen på t.ex. alla misslyckade inlogningar som INTE är “juha.jurvanen” och som är inom ett visst intervall t.ex under den senaste veckan finns helt enkelt inte.

Som systemadministratör vill jag kanske se alla inloggningar som inte kommer från den här specfika IP adressen men innehåller användarnamnet “juha.jurvanen”. Det här kan ju t.ex. handla om min VD vill veta om jag ens varit i landet under just den perioden.

Det går alltså att få fram grundinformationen men det kan vara ett ganska komplicerat och manuellt arbete men ändå något som era kunder förväntar sig ni ska kunna få fram och utan stora extra kostnader för er tid.

Hantera inloggningsrapporter med Syspeace

Här har jag gjort en video på hur man kan få fram all relevant information väldigt enkelt med Syspeace där man snabbt och enkelt söka på alla inloggningar, både lyckade och misslyckade, t.ex. “juha.jurvanen” eller alla inloggningar från en viss IP adress under en viss period.

Jag kanske vill se alla inloggningar som inte är juha.jurvanen eller alla inloggningar som misslyckats men som inte är från en viss IP adress?

Jag vill kanske också filtrera informationen på den senaste veckan eller under en viss period under förra året och kunna klicka på informationen för att se varifrån inloggningen skedde, hur mångar gånger o.s.v

Resultaten kan enkelt exporteras till en .csv fil och sedan t.ex. skapas som en ,pdf för att ge kunden som frågat efter informationen. Jag har många gånger även använt dessa rapporfte för att påtala intrångsförösk som skett mot mina kunder och snabbt fått fram information jag kunnat ge till det företaget eller leverantören som försökt med lösenorsatatcker mot mina kunder. Jag har bara helt enkelt skapat en mall i vilken jag klistrar in informationen från Syspeace och mailar iväg.

Syspeace är alltså en billig och enkel lösning för att snabbt kunna ge kunden eller VD den informationen som de vill ha och ett enkelt verktyg för systemadministratören att se vad som pågår i nätverket kring inloggningar.

Kontakta mig för möte

IP adressen saknas i login event 4625 och 529 i Windows Server

Syspeace är ett HIPS (Host Intrusion Prevention System) som övervakar misslyckade inloggningar bl.a. login event 4625 och 529, på Windows

ufcorp backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Ibland loggas inte IP adressen med i samband med den misslyckade inloggningen ( login event 4625 på Windows 7 och uppåt och Windows Server 2008 och uppåt, eller login event 529 på Windows Server 2003 och några andra säkerhetshändelser som vi övervakar) vilket gör att Syspeace inte kan blockera källan p.g.a IP-adress saknas. Fältet är helt enkelt tomt.
.
Om det inte finns någon IP-adress för att blockera, kan den inte sättas in de Windows brandväggsregler som Syspeace använder och lösenordsattacken kan fortsätta. (Istället för att blockera automatiskt av Syspeace )

Detta händer när du byter från RDP Layer Security till att använda ett SSL certifikat.

En artikel på Stackoverflow kan peka på en lösning.

http://stackoverflow.com/questions/1734635/event-logging-ipaddress-does-not-always-resolve

I princip är förslaget att ändra denna inställning i Lokal säkerhetsprincip på servern som kör Syspeace.

Computer ConfigurationWindows SettingsSecurity SettingsSecurity Val

– Nätverkssäkerhet: LAN Manager-autentisering nivå – Skicka endast NTLMv2-svar. Vägra LM & NTLM
– Nätsäkerhet: Begränsa NTLM: Revisions Inkommande NTLM Traffic – Aktivera revision för alla konton
– Nätsäkerhet: Begränsa NTLM: Inkommande NTLM trafik – Neka alla konton

En liten varning dock!
Om du använder RD WEB också publicerar Remote Resources till andra operativ än Windows!
Av någon anledning, kommer Mac OS klienter sluta se fjärresurser eftersom de verkar köra på NTLM version 1 (och jag skulle gissa Android och XP)

Även skannrar kan sluta fungera lokalt om de behöver för att skriva filer till en nätverksdelad katalog med NTLM icke tillåtet

Jag testade med att ändra nedanstående och då slutade resuserna att publiceras till just MAC och iPad som kör RD Client och använder Remote Resources
Nätsäkerhet: Begränsa NTLM: Inkommande NTLM trafik – Neka alla konton,

Det finns några varningar vid byte här inställningen och du bör undersöka om det finns program eller tjänster i din servermiljö som är beroende av LM eller NTLM (v1).

Kontakta mig för möte

Troubleshooting Syspeace

Syspeace

syspeace – intrusion prevention for Windows serevr

 

<h2>From the  Troubleshooting Syspeace manual and a few new added entries   </h2>

So, as a general troubleshooting Syspeace  tip , check how your firewall is enabled and verify that it indeed is the correct network profile in there, or, enable the firewall for all three profiles.

The usual troubleshooting tips we give are described in the manual in the troubleshooting section

1. Make sure you’ve enabled the firewall (as described in Firewall), firewall enabled, prefferably on all profiles.

2. Make sure you’ve enabled the auditing (as described in Windows login detection prerequisites).

3. Verify that the server can reach https://s.syspeace.com/ping . (You should see a message saying Hello from Stockholm. and the local time of the server and recommended Syspeace version)

4. In some instances, when running Terminal Server or Remote Desktop Services there’s actually the scenario where the Windows server itself fails to obtain the source IP address of the login attempt (you can verify this by checking the Windows event log and look for Source Network Address: ) Sometimes, that entry is empty, thus disabling Syspeace from actually having anything to block. Syspeace will attempt to corroborate the IP address from some other logs. If it doesn’t find any, there is not much that Syspeace can do.

5. In any applicable firewall or antivirus software, allow Syspeace access to https://s.syspeace.com/ (port 443).

6. Verify any proxy settings, if applicable.

7. Some methods of Windows authentication actually attempts to log in several times. Two failures may be part of one log in attempt. Syspeace has no way of knowing how many attempts were intended and has to work with the actual failures. Due to counting failures instead of attempts, rules may be triggered seemingly ahead of time.

8. One way of quickly verifying functionality is to use a workstation (not whitelisted) and attack your server with the net use command from the command prompt. After the number of tries defined in the current rules, the workstation should be blocked from communicating with the server. Example of the command: net use * \server name or server IP addressanyshare /user:syspeacetester “anypassword”

9. If you want to submit logs to us, start Syspeace, go to Management → System settings, enable logging and start the service. The log file is created in a subfolder of the Syspeace installation folder.

10. When submitting logs,
Please create a .zip file of the logfiles, include any relevant information from Windows Eventlogs (application, system and security and when applicapble, the Syspeace eventlog ) and also create a .Zip-file of the database and email them directly to the devteam . The email address can be found in the manual

11. If your server doesn’t pick up the source IP address in your eventlog , please have a look a this blog article

12. If your database has grown above the size limit of 4 GB, in the current version ( 2.5.2) you will have to manually delete the database and set up your Syspeace again. in the upcoming version this has been fixed.

by Juha Jurvanen

#msexchange Brute force attacks prevention on #Webmail #OWA with #Syspeace #hacking #security

Syspeace icon

Syspeace icon

Preventing brute force attacks against Microsoft Exchange Server and OWA Webmail

If you’re running Microsoft Exchange Server your also quite likely to have the Microsoft Exchange OWA (Webmail)
interface up & running to enable your users to use Activesync and access their email, calendars and contacts
over an easy-to-use web interface accessible over the Internet. This is just as relevant if you’re managing your
own Exchange Server or if it is a hosted Exchange at a service provider. If your provider doesn’t have a
solution for this, you may find yourself in a very difficult situation one day as explained further down.
Since the Exchange Webmail (OWA) is reachable and visible over the Internet, this of course also means that
anyone is able to try to log in to your Exchange server over the same OWA interface. They may not succeed to
login but they may try to overload your server by sending lots of login request or have your users undergo a
Denial of Service attack (a DoS attack).

Brute force attacks used as Denial of Service attacks

The OWA in itself (or does Windows Server for that matter) doesn’t have any brute force prevention mechanisms
built into it but the actual user validation is done within the Active Directory infrastructure by your domain
controller(s). Within the Microsoft line of products this is actually true for most of them such as Terminal
Server (RDS, Remote Desktop), Sharepoint, SQL Server and so on and also for Citrix since user validation is done
in the same way.
If you have for instance set up Account Lockout Policies to disable a user account after 5 failed attempts ,
anyone with knowledge of your name standards (email addrees, AD login) can basically run a script against the
server using a specicif username (or hundreds of them) and deliberatley usoing wrong passwords, thus locking the
legitimate users account and disabling them from loging in at all (in essence, they can’t even login to anything
that uses the Active Directory validation, not even their own workstations in the Office)
If such an attack is made from a single IP address, it is fairly easy to block it manually (simply block the
attack in either the external firewall or the local firewall of the Exchange server).
In reality though, this is not how such an attack occurs. Should someone really want to disrupt ypur services,
they will do this from hundreds or thousands computers at the same time and making it impossible to block
manually.

Using Syspeace as a countermeasure

With Syspeace , this is all taken care of automatically. Syspeace monitors the Windows Serevr logs for failed
login requests and if an IP address tries to login against your servers ( Exchange, Terminals Server and so on)
and fails for instance 5 times within half an hour, the IP address is automatically blocked from communicating
at all with the affected server on any level (so if you’re also running other services , they will not be able
to target them either once blocked).
Each attack is blocked, traced and reported via email that contains the source IP address, the username used,
country of origin and previous attacks from the same IP address.

Here is actually an example of how the email notification looks like (with IP address and domain name intentionally removed)
Blocked address *.*.*.* (ip-*-*-*-*.*.secureserver.net) [United States] 2015-01-14 18:45:00 Rule used (Winlogon):
Name: Catch All Login
Trigger window: 4.00:30:00
Occurrences: 5
Lockout time: 02:00:00
Previous observations of this IP address:
2015-01-14 16:44:50 ****lab
2015-01-14 16:44:52 ****labroator
2015-01-14 12:53:44 ****ron
2015-01-14 12:53:46 ****demo
2015-01-14 12:53:48 ****canon

Syspeace also delivers daily and weekly reports of blocked threats.

Within Syspeace, there is also reporting tools for access reports, a Global Blacklist for infamous offenders and
much more.

Installing and setting ups Syspeace

Setting up Syspeace is very easy and only takes a couple of minutes, without the need for changing your
infrastructure or bying very expensive dedicated hardware. Most likely , you will not even need to hire a
consultant for it.

Syspeace runs as Windows Service and support a variety of Windows Servers such as Terminal Server, Exchange Server, Sharepointm Windows Serevr 2003 to Windows Serevr 2012 R2 and more and it starts detecting brute force attacks immediately after you set it up and press the start button.

Please download a free, fully functional 30 trial from http://www.syspeace.com/free-download/download-plus-
getting-started-with-syspeace/
and see for yourself how a very big problem can be very easily solved.
Should you decide to keep using Syspeace, the licensing cost is equivalent to an antivirus product and the
licensing model is highly flexible, enabling you to decide for yourself ofor how long you wish to run Syspeace.

Syspeace - intrusion prevention for Windows servers

Syspeace website

#infosec How to block an ongoing dictionary attack / brute force attack against Windows Servers, #MSexchange and more

Syspeace - intrusion prevention for Windows servers

Syspeace website

How to block an intrusion attack against Windows Servers for free

If your server or datacenter is targeted by a brute force attack a.k.a dicttionary attacks , it might be hard to figure out how to quickly make it stop.
If the attack is from a single IP address you’d probably block it in your external firewall or the Windows Server firewall and after that start tracking and reporting the attack to see if needs following up.
However, if the attacks is triggered from hundreds or even thousands of IP addresses, it will become basically impossible to block all of them in the firewall so you need something to help you automate the task.

This is where Syspeace comes into play.

Fully functional, free trial for bruteforce prevention

Since Syspeace has a fully functional trial for 30 days, you can simply download it here ,install, regsiter with  a valid mail address, enter the licensekey into the Syspeace GUI and the attack will be automatically handled (blocked, tracked and reported) as soon as the Syspeace service starts up.

In essence, the attack will be blocked within minutes from even connecting to your server.

The entire process of downloading, installing and registering ususally only takes a few minutes and since Syspeace is a Windows service it will also automatically start if the server is rebooted.

If the attack is triggered to use just a few login attempts per attacking IP address and for a longer period of time in between attempts, I’d suggest you change te default rule to monitor for failed logins for a longer triggerwindow , for example 4 days so you’d also automatically detect hacking attempts that are trying to stay under the radar for countermeasure such as Syspeace.

The Syspeace Global BlackList

Since Syspeace has already blocked over 3.6 Million attacks worldwide , we’ve also got a Global Blacklist that is automatically downloaded to all other Syspeace clients.

This means that if an IP address has been deemed a repeat offender (meaning that it has attacked X number of Syspeace customers and Y number of servers within Z amount of tme), the attackers IP address is quite likely to already be in the GBL and therefore it will be automatically blacklisted on all Syspeace-installations, thus making it preemptively blocked.

Syspeace does not simmply disable the login for the attacker, it completely blocks the attacker on all ports from communicating with your server so if you’ve got otther services also running on the server (such as an FTP or SQL Server) the attacker will not be able to reach any if those services either. The lockdown is on all TCP ports.

More Syspeace features, supported Windows Server editions and other services such as Exchange Server, Terminal Server, SQL Server …

You will also get tracking and reporting included immediately for future reference or forensics.
Syspeace supports Windows Server editions from Windows 2003 and upwards, including the Small Business Server editions. It also supports Terminal Server (RDS) and RemoteAPP and RDWeb, Microsoft Exchange Serevr including the webmail (OWA) , Citrix, Sharepoint,
SQL Server and we’ve also released public APIs to use with various weblogins. All of this is included in Syspeace. Out of the box.
We’ve got a IIS FTP server detector in beta and also a FileZilla FTP Server detector and we’re constantly developing new detectors for various server software.

Download and try out Syspeace completely free

Even if you’re not being attacked by a large brute force attack right now, you can still download the trial and have Syspeace handle attacks for you in the background. Who knows, there could be more invalid login attemtpts than you think, such as disabled or removed users that have left the company or very subtle, slow dictioanry attacks going on in the background that actaully might be quite tricky to spot if your not  constantly monitoring logfles.

On this blog, http://syspeace.wordpress.com ,we’ve written a lot of blog articles on how Syspeace works and a lot of other articles regarding securing your servers that we hope you’ll find useful.

How to battle slowgrind #bruteforce attacks against #msexchange #windows server #remotedesktop #sharepoint with #Syspeace

Syspeace automatically blocks attacks that occur according to the rules.
The default rule is that if an intruder fails to login more than 5 times within 30 minutes, the intruders IP address is blocked, tracked and reported for 2 hours and simply is denied any access to the server.

A new trend though has emerged and that is for bruteforce attackers to “slowgrind” through servers, trying to stay “under the radar” really from IDS/IPS HIPS/HIDS such as Syspeace.
They’ve got thousands and thousands of computers at their disposal so they’ll basically just try a few times at each server and then move on to next one in the IP range or geographical location hoping not to trigger any alarms or hacker countermeasures in place.

An easy way to battle this is actually simply to change the default rule in Syspeace from the time windows of 30 minutes to for example 5 days.

This way , I’m pretty sure you’ll see there are quite a few attackers that only tried 2 or three times a couple of days ago and they’re back again but still only trying only a few times.

With the “5 day” windows, you’ll catch and block those attacks too.

Here’s actually a brilliant example of an attack blocked, using a 4 day window.

Blocked address 121.31.114.99() [China] 2014-08-11 15:06:00
Rule used (Winlogon):
        Name:                   Catch All Login
        Trigger window:         4.00:30:00
        Occurrences:            5
        Lockout time:           02:00:00
        Previous observations of this IP address:
        2014-08-11 13:05:51     aksabadministrator
        2014-08-10 22:06:48     aksabadministrator
        2014-08-10 06:39:12     aksabadministrator
        2014-08-09 15:39:52     aksabadministrator
        2014-08-09 00:32:05     aksabadministrator

Syspeace has blocked more than 3 285 300 intrusion attempts against Windows Servers worldwide so far.

Syspeace - intrusion prevention for Windows servers

Syspeace website

#infosec Over 3.1 Million bruteforce attacks against #windowsserver #msexhange #Sharepoint #remotedesktop #Citrix blocked by #Syspeace

Syspeace , intrusion prevention for Windows servers,  has blocked,tracked and reported over 3.1 Million bruteforce and dictionary attacks targeted worldwide at Windows Servers running Remote Desktop , Exchange, Citrix, Sharepoint, SQL Server and other services.

image