Защита RDP Mikrotik`ом

Автор: · 12.07.2019

Управляю небольшой сетью предприятия, периодически в логах встречаю следующие предупреждения.

Аудит отказа NULL SID Учетной записи не удалось выполнить вход в систему.

Периодичность записи каждые 2-10 секунд, на лицо подбор пароля.

- System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C56D} 
 
   EventID 4625 
 
   Version 0 
 
   Level 0 
 
   Task 12544 
 
   Opcode 0 
 
   Keywords 0x8010000000000000 
 
  - TimeCreated 

   [ SystemTime]  2019-07-12T13:06:44.025375100Z 
 
   EventRecordID 37219 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  556 
   [ ThreadID]  2216 
 
   Channel Security 
 
   Computer WIN-SRV5090
 
   Security 
 

- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName ADMINISTRATOR 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName - 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort -

На защиту встал Микротик, а именно его фильтр.

#ip/firewall/filter

Я подготовил следующий скрипт (разработка не моя)

#Отправляет на проверку все новые соединения по TCP/UDP 3389
#Работает ДО БЛОКИРОВКИ, тоесть Если атакующий не перестанет подбирать пароли, он не вылезет из blacklist НИКОГДА! 
add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=tcp
add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=udp

#Строчка защиты от брутфорса. Отправляет все что попало в адрес-лист BruteForcer. Оно специально стоит ПОСЛЕ отправки на проверку.
add action=drop chain=forward comment=Drop-Bruteforcers connection-state=new src-address-list=bruteforcer

#Общая цепочка проверки на  Bruteforce. В нее отсылаем при помощи jump на проверку все, что у нас могут ломать
#CHECK-BRUTEFORCE
#10 минут вполне достаточно.
add action=add-src-to-address-list address-list=bruteforcer address-list-timeout=10m chain=check-bruteforce \
src-address-list=bruteforce-stage-5
add action=add-src-to-address-list address-list=bruteforce-stage-5 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-4
add action=add-src-to-address-list address-list=bruteforce-stage-4 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-3
add action=add-src-to-address-list address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-2
add action=add-src-to-address-list address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce \
src-address-list=bruteforce-stage-1
add action=add-src-to-address-list address-list=bruteforce-stage-1 address-list-timeout=1m chain=check-bruteforce
 Правило заработало, спасибо MikroTIK.

Метки:

Читайте также:

Добавить комментарий