Перейти к содержанию
__guest__

Защита от взлома через службу FTP

Recommended Posts

__guest__

Доброе время суток. Имеется Windows SRV 2003 STD R2 SP2, просматривая события в журналах, обнаружил неприятную вещь: мой сервак путаются взломать, идет перебор паролей/логинов через службу FTP - несколько десятков тысяч таких вот событий:

Тип события: Предупреждение

Источник события: MSFTPSVC

Категория события: Отсутствует

Код события: 100

Дата: 20.02.2010

Время: 10:54:19

Пользователь: Н/Д

Компьютер: NS

Описание:

Не удалось выполнить вход на сервер с учетной записью Windows NT 'Administrator' из-за следующей ошибки: Вход в систему не произведен: имя пользователя или пароль не опознаны. Данные содержат код ошибки.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Данные:

0000: 2e 05 00 00 ....

В данный момент стоит Антивирус Касперского для Windows File Servers, сейчас ищу решения для защиты моего сервера (на котором крутятся Почта, DNS-сервер, VPN, Прокси, Шлюз). Заинтересовался продуктами Симантека - качнул пробную версию Symantec Endpoint Protection, установил Symantec Endpoint Protection Manager на клон моего сервера, через Manager развернул клиента, обновил базы, проверил что все модули, политики включены, и начал тестить: с другого компьютера пытаюсь залогиниться на сервер с Симантеком по FTP с заведомо неверным логином или паролем, делая примерно 100-150 попыток в минуту. Но Симантек не воспринимает мои действия как атаку - и естественно не блокирует атакующий комп. Копание в справке Симантека, интернете, на форуме Симантека (создал тему: https://www-secure.symantec.com/connect/for...omment-3640351) дало следующее: в SEP'е есть модуль предотвращения вторжений по сети, который вторжения предотвращает на основе сигнатур, и (как сказали в справке Симантека) если нет нужных сигнатур, можно создать собстенную, привинтуть ее к политике предотвращения вторжений в Symantec Endpoint Protection Manager, который рулит клиентом, и все будет хорошо. Загвоздка в том что создать эту сигнатуру не могу - встроенная справка Симантека очень на этот счет скудная, в инете ничего не нарыл, на англоязычном форуме пока молчат. Вопрос следующий: кто знает как создать нужную мне сигнатуру, может сделает ее, если не сложно :), или может кто знает другой путь решения моей проблемы, может какой другой продукт нужно использовать. Если подитожить: мне нужна система для защиты моего сервака с вышеукзанными сервисами на нем, которая может блокировать комп по IP который пытается хотя бы 10 раз в минуту залогиниться на FTP с неправильным логином/паролем.

Очень надеюсь на помощь на вашем форуме ( мне его посоветовали в представительстве Симантека). Если результат будет отрицательный, наверно придется искать решения у других вендоров, а так охота Симантека внедрить - вроде нравится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

__guest__ SEP с описанной вами задачи не справится, IPS встроенный в него не совсем предназначен для например блокировки попыток перебора пароля, он блокирует сетевые пакеты которые содержат признаки использования уязвимостей, предотвращает сканирование портов и т.д. Вашу проблему можно решить либо с помощью правила фаервола например запрещающего доступ к этому серверу из вне по определенным портам, либо могу посоветовать посмотреть на Symantec Critical System Protection, он в том числе защищает от попыток подбора пароля, но это не антивирус, а профессиональная система IPS/IDS, которая может использоваться как дополнение к АВ продукту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
__guest__

Кирилл, качаю продукт. Про тему не забывайте, по результатам отпишусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
__guest__

Кирилл, здравстуйте, что-то не могу в этот Critical System Protection настроить политику как мне нужно: Создаю пустую политику, в опциях в Network Controls снимаю галку "Globally set the default inbound rules to deny" - в комп по сети можно зайти, а вот к FTP-доступа вообще нет - хотя в разделе IIS Information Services поставил галку "Enable Access to FTP-related resources" но все равно при попытке зайти на FTP даже до запроса логина/пароля дело не доходит - "Сброшено подключение к серверу". Понимаю что где-то еще что-то запрещающее стоит, но вроде все перерыл. Не подскажете в каком разделе в политке поставить чтобы доступ к FTP был, но чтобы атакующий комп блокировался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
__guest__

Вроде нашел в разделе "Internet Information Services" -> "Network Controls" -> еще какой-то пункт (тачку уже вырубил, смотреть неохота) прописал 21 порт, и поставил "Allow". Да вот только опять та же проблема Critical System Protection не "видит", когда я пытаюсь подобрать пароли на FTP- и соответсвтенно ничего не предпринимает. Не подскажете как настроить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

guest, добрый день!

Я работал когда-то с этим продуктом, самый лучший способ заблокировать что-либо, это вначале отследить.

И с этого рекомендуется начинать работу с SCSP - именно отслеживать, а потом уже блокировать.

SCSP может отслеживать все попытки лоигна в систему и может предоставить детальную информацию об этом.

Для этого нужно лишь включить так называемый "Detection Mode" (вв вкладке Detection Policies) и настроить его на "detect logоn attempts", т.е. фиксирование всех попыток входа в систему.

После этого можно еще подкрутить немного политику и настроить так, что на сервер смогут заходить только доверенные пользователи, а все остальные попытки будут блокироваться.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Лучший способ оградить фтп от таких атак, это поставить нормальный фтп сервер с обычной возможностью блокировки после 3-5 попыток неправильного ввода, идс\ипс не поможет если будут использоваться прокси=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
    • Mawa27
      Здравствуйте)Я довольно часто заказываю букеты, так как живу далеко от своих родственников и единственным вариантом их поздравить остается букет на заказ. Чаще всего пользуюсь фирмой https://kvitochka.kiev.ua/ .У них очень оригинальные и красивые букеты, особенно люблю те, что в коробках. Смотрятся очень стильно и при этом красиво.Так что рекомендую вам)
    • Sawa26
      Где заказать шикарный букет цветов?
    • Mawa27
      Компания ProHoster запускает линейку дешевых выделенных серверов LC Intel  от 26,7$. Рекордно низкая стоимость обеспечит Вам максимальный доход. Размещение - Украина. Процессоры Intel и Intel Core. Есть возможность установить ОС Windows server 2008 R2 и Windows server 2012 R2. Доступ к серверу через DCI панель.     Конфигурации серверов:   Тариф LC Intel G1610 по цене $26.7/месяц + Установочная цена 12$ 4Gb ОЗУ 500GB Intel G1610 CPU or similar 1 IPv4    Тариф LC Intel Core i5 по цене $34.7/месяц + Установочная цена 12$ 8Gb ОЗУ 2x500GB Intel i5 CPU or similar 1 IPv4   Тариф LC Intel Core i7 по цене $40/месяц + Установочная цена 12$ 16Gb ОЗУ 2x500GB Intel i7 CPU or similar 1 IPv4   Подробнее о тарифах, а также информацию о других услугах можете найти на нашем сайте
×