Что делать когда тебя пытаются брутфорсить?

Сегодня смотрел журнал событий системы:


Тип события: Предупреждение

Источник события: RemoteAccess

Категория события: Отсутствует

Код события: 20189

Дата: 25.03.2013

Время: 4:20:09

Пользователь: Н/Д

Компьютер: %ProxyName%

Описание:

Пользователь "%SomethingUserName%", подключен с %IPAdress%, но не прошел проверку подлинности, поскольку Проверка подлинности не завершена успешно, поскольку пароль пользователя был указан неверно.


Дополнительные сведения можно найти в центре справки и поддержки, в «go.microsoft.com/fwlink/events.asp».


Событие происходило раз в секунду, каждый раз менялось имя пользователя.

IP адрес подключающегося был статичен, судя по Whois из США. Ну мы то с вами знаем, что любой человек может пользоваться американским IP, тут много знаний не нужно…


А теперь собственно вопрос: как реагировать на подобную ситуацию? Что делать? Что противопоставлять и т.п.
  • Вопрос задан
  • 6446 просмотров
Пригласить эксперта
Ответы на вопрос 8
@lenferer
.Net/Rails developer
Не хочу показаться капитаном очевидность, но нужно как минимум в файервол добавить правило которое блокирует доступ с IP с которого лез брут
Ответ написан
cjey
@cjey
бот долбится. проверить на провал попытки и игнорировать.
Ответ написан
risik
@risik
Программист
на *nix есть fail2ban. Не уверен, но мне думается, что можно найти что-то подобное для Windows. Во всяком случае, принцип, должен быть примерно такой: 1) ошибка аутентификации 2) увеличиваем тайм-аут 3) если ошибка с того же ip повторяется, например, 3 раза, то блокируем ip, хотя бы на сутки. Главное при такой схеме — самому ошибаться не более 2-х раз подряд :))
Ответ написан
grimich
@grimich
Не забудьте отметить лучший ответ как решение
Сменить порт на котором висит удаленка
Ответ написан
shanker
@shanker
Согласен с предыдущем комментарием. Классикой считается блокировать IP после определённого числа неудачных попыток аутентификации. Также стоит настроить тайм-аут приёма аутентификации, когда после ввода пароля система, например, 3 секунды стоит в паузе и потом только выводит вердикт. В конфигах многих сервисов имеется такая настройка.

Также можно порекомендовать «повесить» сервер на нестандартный порт, ограничить доступ к серверу по IP адресам (если известно с каких адресов ожидать подключения легитимных пользователей). Ну и на закуску — Port knocking
Ответ написан
afiskon
@afiskon
Забанить по IP, сменить порт, внести прочие ограничения (номер порта с которого устанавливается соединение, если бы брутфорсили по HTTP, можно было бы проверять UserAgent и тп).
Ответ написан
sarbash
@sarbash
блокировать IP не совсем правильно, т.к. на одном IP могут быть тысчячи других пользователей за NAT, кроме того могут брутфорсить боты или зараженные ПК с разных IP.
Задержки да, еще возможна автоблокирока учеток на которые пытаются логинится после N числа неудачных входво, ну и про самое надежное и простое средство тут забыли - сложные пароли.
Ответ написан
@TapakaLLIko
gpedit.msc - Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Безопастность:
пункт Всегда запрашивать пароль при подключении - Включен

Там же можно прочитать помощь по пункту. (Действительно для W2K8, как для более ранних незнаю, нет в наличии)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы