Защита от взлома через службу FTP - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
__guest__

Защита от взлома через службу FTP

Recommended Posts

__guest__

Доброе время суток. Имеется Windows SRV 2003 STD R2 SP2, просматривая события в журналах, обнаружил неприятную вещь: мой сервак путаются взломать, идет перебор паролей/логинов через службу FTP - несколько десятков тысяч таких вот событий:

Тип события: Предупреждение

Источник события: MSFTPSVC

Категория события: Отсутствует

Код события: 100

Дата: 20.02.2010

Время: 10:54:19

Пользователь: Н/Д

Компьютер: NS

Описание:

Не удалось выполнить вход на сервер с учетной записью Windows NT 'Administrator' из-за следующей ошибки: Вход в систему не произведен: имя пользователя или пароль не опознаны. Данные содержат код ошибки.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Данные:

0000: 2e 05 00 00 ....

В данный момент стоит Антивирус Касперского для Windows File Servers, сейчас ищу решения для защиты моего сервера (на котором крутятся Почта, DNS-сервер, VPN, Прокси, Шлюз). Заинтересовался продуктами Симантека - качнул пробную версию Symantec Endpoint Protection, установил Symantec Endpoint Protection Manager на клон моего сервера, через Manager развернул клиента, обновил базы, проверил что все модули, политики включены, и начал тестить: с другого компьютера пытаюсь залогиниться на сервер с Симантеком по FTP с заведомо неверным логином или паролем, делая примерно 100-150 попыток в минуту. Но Симантек не воспринимает мои действия как атаку - и естественно не блокирует атакующий комп. Копание в справке Симантека, интернете, на форуме Симантека (создал тему: https://www-secure.symantec.com/connect/for...omment-3640351) дало следующее: в SEP'е есть модуль предотвращения вторжений по сети, который вторжения предотвращает на основе сигнатур, и (как сказали в справке Симантека) если нет нужных сигнатур, можно создать собстенную, привинтуть ее к политике предотвращения вторжений в Symantec Endpoint Protection Manager, который рулит клиентом, и все будет хорошо. Загвоздка в том что создать эту сигнатуру не могу - встроенная справка Симантека очень на этот счет скудная, в инете ничего не нарыл, на англоязычном форуме пока молчат. Вопрос следующий: кто знает как создать нужную мне сигнатуру, может сделает ее, если не сложно :), или может кто знает другой путь решения моей проблемы, может какой другой продукт нужно использовать. Если подитожить: мне нужна система для защиты моего сервака с вышеукзанными сервисами на нем, которая может блокировать комп по IP который пытается хотя бы 10 раз в минуту залогиниться на FTP с неправильным логином/паролем.

Очень надеюсь на помощь на вашем форуме ( мне его посоветовали в представительстве Симантека). Если результат будет отрицательный, наверно придется искать решения у других вендоров, а так охота Симантека внедрить - вроде нравится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

__guest__ SEP с описанной вами задачи не справится, IPS встроенный в него не совсем предназначен для например блокировки попыток перебора пароля, он блокирует сетевые пакеты которые содержат признаки использования уязвимостей, предотвращает сканирование портов и т.д. Вашу проблему можно решить либо с помощью правила фаервола например запрещающего доступ к этому серверу из вне по определенным портам, либо могу посоветовать посмотреть на Symantec Critical System Protection, он в том числе защищает от попыток подбора пароля, но это не антивирус, а профессиональная система IPS/IDS, которая может использоваться как дополнение к АВ продукту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
__guest__

Кирилл, качаю продукт. Про тему не забывайте, по результатам отпишусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
__guest__

Кирилл, здравстуйте, что-то не могу в этот Critical System Protection настроить политику как мне нужно: Создаю пустую политику, в опциях в Network Controls снимаю галку "Globally set the default inbound rules to deny" - в комп по сети можно зайти, а вот к FTP-доступа вообще нет - хотя в разделе IIS Information Services поставил галку "Enable Access to FTP-related resources" но все равно при попытке зайти на FTP даже до запроса логина/пароля дело не доходит - "Сброшено подключение к серверу". Понимаю что где-то еще что-то запрещающее стоит, но вроде все перерыл. Не подскажете в каком разделе в политке поставить чтобы доступ к FTP был, но чтобы атакующий комп блокировался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
__guest__

Вроде нашел в разделе "Internet Information Services" -> "Network Controls" -> еще какой-то пункт (тачку уже вырубил, смотреть неохота) прописал 21 порт, и поставил "Allow". Да вот только опять та же проблема Critical System Protection не "видит", когда я пытаюсь подобрать пароли на FTP- и соответсвтенно ничего не предпринимает. Не подскажете как настроить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

guest, добрый день!

Я работал когда-то с этим продуктом, самый лучший способ заблокировать что-либо, это вначале отследить.

И с этого рекомендуется начинать работу с SCSP - именно отслеживать, а потом уже блокировать.

SCSP может отслеживать все попытки лоигна в систему и может предоставить детальную информацию об этом.

Для этого нужно лишь включить так называемый "Detection Mode" (вв вкладке Detection Policies) и настроить его на "detect logоn attempts", т.е. фиксирование всех попыток входа в систему.

После этого можно еще подкрутить немного политику и настроить так, что на сервер смогут заходить только доверенные пользователи, а все остальные попытки будут блокироваться.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Лучший способ оградить фтп от таких атак, это поставить нормальный фтп сервер с обычной возможностью блокировки после 3-5 попыток неправильного ввода, идс\ипс не поможет если будут использоваться прокси=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×