Как бороться с брутфорс атаками на Exchange сервер?

Question

[Megum1n]

На корпоративный сервер Exchange 2007 поступает огромное колличество запросов как с рандомными именами (подбор логина), как и с существующими именами (подбор логина).
В логах Exchange нет никаких адресов. Сообщается только адрес и причина неудачи.
В идеале добавлять адреса в блеклист, но, как я понял, Exchange так не умеет.
Что можно сделать?

Answer 1

[Александр]

А что вы будете делать когда блеклист разрастется до 5гиг и адрес сотрудника окажется в блеклисте?
Нужен пароль стойкий к подборам.

Comments

[Megum1n]

Проблема в том, что сервер Active Directory блокирует существующего пользователя при совершении 10 неудачных попыток ввода пароля.
Запросы поступают быстро, в результате чего, аккаунты нескольких работников компании блокируются по несколько раз в день, мешая работе (работник не может даже в систему войти так как аккаунт один).

[Александр]

Ну для перебора обычно используется ботнет - а это 100к+ хостов самый минимум. Можно блокировать хосты ботов, но от блокировки AD не думаю что спасет.

Лучше ограничить вообще возможность логина извне - белым списком на уровне фаервола. Возможно корпоративные симки с корпоративной сетью для сотрудников.

Белый список будет всегда примерно равен числу сотрудников а не количеству хостов ботнета.

Answer 2

[akelsey]

Самое простое это на роутере или шлюзе в интернет настроить fail2ban сервис или реализующий схожий функционал. Если с определенного IP идёт больше чем N подключений - блокировать на 3-5 минут. Атаки закончатся.
N подобрать опытным путём.

Comments

[Megum1n]

Как роутер/шлюз будет понимать какой из запросов fail, а какой - нет?
Пакеты идут до Exchange сервера в шифрованном виде.

Answer 3

[xmoonlight]

Настройте ADFS.

Comments

[Megum1n]

Там доисторическое оборудование, не подойдёт.
Только если апгрейдить, а это дорого.

[xmoonlight]

Megum1n, тогда или платные сторонние продукты защиты, или менять вход почты на сторонний защищённый сервер и оттуда уже пересылать на свой. А у себя - фильтр по IP.

Answer 4

[Роман Безруков]

Я правильно понимаю, что Ваш Exchange смотрит в интернет напрямую? И МХ на него указывает? Исторически так сложилось?
Поставьте перед Exchange релей какой-нибудь, МХ смотрит на релей, между релеем и Exchange только 25 порт.

Comments

[Megum1n]

Exchange смотри в интернет напрямую только 25 и 443 портом.
>Исторически так сложилось?
Да.

[Роман Безруков]

Megum1n, прячьте его за релей...

[Megum1n]

Роман Безруков, окей, предложу сеньёру такой вариант.
Но он консервативный человек, по принципу "работает - не трогай".

[Евгений]

Я согласен с Роман Безруков - relay для вас это чуть ли не единственный выход. Exchange 2007 это динозавр еще тот, вы не прикрутите к нему Microsoft Online Protection - он доступен только для Exchange 2010+.
Что можно попробовать, таке это сдетать co-existence с Exchange 2010 CAS/Edge.

Для вас, вероятно, пути развития это:
- апгрейд до Exchange 2010, в таком случае вам не придется мучаться с расширением Active Directory и вы сможете, при большом желании, уйти в Online Protection
- миграция на Exchange 2016/2019/Online
- hardware firewall, который будет отсекать попытки brute force

Но самое главное, что вам нужно донести мысль вашему senior, что оставлять почту на 2007 равносильно попытке определения количества горючего в бензобаке с помощью зажигалки: зажечь и посветить.

[Роман Безруков]

Евгений, апгрейд поддерживаю