Защита RDP Mikrotik`ом
Управляю небольшой сетью предприятия, периодически в логах встречаю следующие предупреждения.

Периодичность записи каждые 2-10 секунд, на лицо подбор пароля.
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C56D}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2019-07-12T13:06:44.025375100Z
EventRecordID 37219
Correlation
- Execution
[ ProcessID] 556
[ ThreadID] 2216
Channel Security
Computer WIN-SRV5090
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName ADMINISTRATOR
TargetDomainName
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc0000064
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName -
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress -
IpPort -
На защиту встал Микротик, а именно его фильтр.
#ip/firewall/filter
Я подготовил следующий скрипт (разработка не моя)
#Отправляет на проверку все новые соединения по TCP/UDP 3389 #Работает ДО БЛОКИРОВКИ, тоесть Если атакующий не перестанет подбирать пароли, он не вылезет из blacklist НИКОГДА! add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=tcp add action=jump chain=forward connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=udp #Строчка защиты от брутфорса. Отправляет все что попало в адрес-лист BruteForcer. Оно специально стоит ПОСЛЕ отправки на проверку. add action=drop chain=forward comment=Drop-Bruteforcers connection-state=new src-address-list=bruteforcer #Общая цепочка проверки на Bruteforce. В нее отсылаем при помощи jump на проверку все, что у нас могут ломать #CHECK-BRUTEFORCE #10 минут вполне достаточно. add action=add-src-to-address-list address-list=bruteforcer address-list-timeout=10m chain=check-bruteforce \ src-address-list=bruteforce-stage-5 add action=add-src-to-address-list address-list=bruteforce-stage-5 address-list-timeout=1m chain=check-bruteforce \ src-address-list=bruteforce-stage-4 add action=add-src-to-address-list address-list=bruteforce-stage-4 address-list-timeout=1m chain=check-bruteforce \ src-address-list=bruteforce-stage-3 add action=add-src-to-address-list address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce \ src-address-list=bruteforce-stage-2 add action=add-src-to-address-list address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce \ src-address-list=bruteforce-stage-1 add action=add-src-to-address-list address-list=bruteforce-stage-1 address-list-timeout=1m chain=check-bruteforce

Правило заработало, спасибо MikroTIK.
Свежие комментарии