Score:0

การรักษาความปลอดภัย Windows Server NPS/SSTP

ธง ru

เมื่อดูที่บันทึกของกรมอุทยานฯ ฉันเห็นว่าเรากำลังถูกทุบตี นักแสดงออนไลน์บางคนกำลังดุร้ายกับชื่อล็อกอินและรหัสผ่านต่างๆ

โดยทั่วไปแล้ว นี่ไม่ใช่ปัญหา... ยัง ดูเหมือนว่าจะไม่มีการละเมิดเกิดขึ้น (โดยเฉพาะอย่างยิ่งเนื่องจากไม่ใช่การพยายามเข้าสู่ระบบครั้งเดียวหลายครั้ง แต่เป็นการสุ่มชื่อเข้าสู่ระบบ)

อย่างไรก็ตาม เราได้ระบุปัญหาสำคัญบางประการซึ่งยังไม่แน่ใจว่าจะแก้ไขอย่างไร

  1. เซิร์ฟเวอร์ที่โฮสต์ NPS มีหน้าที่ตรวจสอบความถูกต้องกับ DC ของเรา และมีบันทึก (ค่อนข้างเก่า) น่าเสียดายที่ฉันพบว่า IP ต้นทางสำหรับความพยายามเหล่านี้คือไฟร์วอลล์ของเรา แทนที่จะเป็นแหล่งที่มาออนไลน์ใดๆ และฉันก็สงสัยว่าไฟร์วอลล์ของเราถูกบุกรุกเนื่องจากเรากำลังจัดการกับโปรโตคอล SSTP ฉันจึงต้องตั้งค่ากฎ DNAT; ฉันเข้าใจว่ากฎนี้ควรผ่าน IP ต้นทาง แต่ดูที่บันทึกที่ดูเหมือนจะไม่เป็นเช่นนั้น กฎ DNAT ไม่ควรส่งผ่าน IP ต้นทางใช่หรือไม่ ถ้าไม่ ฉันควรตั้งค่ากฎไฟร์วอลล์ประเภทใดเพื่อให้การบันทึกทำงานได้อย่างถูกต้อง
  2. เมื่อดูที่คำขอรับรองความถูกต้องที่สำเร็จ ฉันไม่เห็นวิธีค้นหา IP ใดที่พวกเขาได้รับมอบหมาย แน่นอนฉันสามารถดูที่เซิร์ฟเวอร์ SSTP เพื่อดูการเชื่อมต่อที่ใช้งานอยู่ได้ แต่ถ้ามีบางอย่างเกิดขึ้นในอดีต ดูเหมือนว่าข้อมูลจะหายไป มีโอกาสที่ดีที่ฉันต้องเปิดใช้งานบางอย่างก่อนเพื่อบันทึกข้อมูลนั้น แต่ฉันได้ค้นหาแล้วและไม่พบอะไรเลย คุณสมบัติ SSTP มีส่วน "การบันทึก" ที่... ไม่ทำงาน ไฟล์เป้าหมาย (%windir%\tracing\RaMgmtUIMon.log) ดูเหมือนจะว่างเปล่า
  3. มีวิธีการใช้ระบบ "ป้องกันการตอก" สำหรับ SSTP หรือไม่
br flag
ทางออกที่ดีที่สุดคือการใช้สิ่งนี้กับไฟร์วอลล์ บนระบบ Linux ฉันชอบfail2banสำหรับจุดประสงค์นั้น คุณใช้อุปกรณ์หรือซอฟต์แวร์ใดเป็นไฟร์วอลล์
Shaamaan avatar
ru flag
@MoWo เรากำลังใช้ Sophos UTM แม้ว่าจะเป็น Linux ... ฉันไม่แน่ใจว่าจะช่วยได้อย่างไรพูดตามตรง ฉันหมายความว่าไฟร์วอลล์ในกรณีนี้กำลังทำ (D)NAT...
br flag
โอเค Sophos ไม่ได้เสนออัตราที่จำกัดนอกกรอบเท่าที่ฉันทราบ คุณสามารถลองปรับแต่งอัตราแพ็คเก็ตที่อนุญาตภายใต้การป้องกัน DoS ในการตั้งค่าการป้องกันการบุกรุกของอุปกรณ์สำหรับพอร์ต / โปรโตคอล / IP เป้าหมายเฉพาะ อย่างน้อยนั่นอาจทำให้การโจมตีเหล่านี้ช้าลง แต่คุณจะไม่หยุดพวกมัน มันอาจจะเพียงพอที่จะทำลายความสนุกของเจ้าของบ็อตเน็ตที่พยายามบังคับเซิร์ฟเวอร์ของคุณอย่างโหดเหี้ยมและทำให้พวกเขามุ่งความสนใจไปที่ทรัพยากรของตนไปยังเป้าหมายที่มีแนวโน้มดีกว่า...
Shaamaan avatar
ru flag
@MoWo ฉันไม่แน่ใจว่าการจำกัดอัตราจะช่วยฉันได้อย่างไร SSTP เป็นบริการ VPN ท้ายที่สุด ฉันไม่ต้องการให้ผู้ใช้ถูกขึ้นบัญชีดำเนื่องจากการคัดลอกไฟล์ขนาดใหญ่หรืออะไรก็ตาม... อย่างไรก็ตาม ความกังวลหลักของฉันในตอนนี้คือ **#1** ฉันไม่เข้าใจว่าทำไม IP ต้นทางจึงเป็นไฟร์วอลล์... :(
br flag
ถ้าคุณจัดการตัดการเชื่อมต่อใหม่สูงสุดต่อ IP ไคลเอนต์เป็น 5 ต่อนาทีซึ่งน่าจะใช้ได้สำหรับผู้ใช้ส่วนใหญ่ แต่น่ารำคาญมากสำหรับการบังคับเซิร์ฟเวอร์อย่างดุร้าย เกี่ยวกับปัญหา DNAT คุณได้ตรวจสอบกฎ NAT อีกครั้งและสิ่งที่ระบุในแหล่งที่มาดั้งเดิมหรือไม่
Shaamaan avatar
ru flag
@MoWo ไม่มีอะไรอีกแล้ว "แหล่งที่มาดั้งเดิม" เนื่องจากเป็นกฎของ DNAT บางทีความเข้าใจเกี่ยวกับ DNAT ของฉันอาจผิด และนี่ควรเป็น NAT แบบ 1:1 หรือ NAT แบบเต็ม

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา