Hoe stop ik deze hack aanvallen? - Privacy en beveiliging

dinsdag 8 juli 2008 06:23

Acties:

Verwijderd

Topicstarter

Beste tweakers,

Wij bieden virtuele werkplekken via windows terminal server. Omdat deze voor alle klanten door de hele wereld beschikbaar moet zijn is er een internet RDP adres beschikbaar gesteld (op een niet standaard poort).

Het geheel is als volgt beveiligd: ISA 2004 server, Windows 2003 enterprise terminal server, Windows 2003 DC, Windows 2003 exchange server. Vanuit de ISA server wordt de RPP sessie doorgezet naar de terminal server.

Dit draaide eigenlijk heel lang goed, maar nu staan er honderden events in de DC van foutieve aanmeldpogingen. Het lijkt echt brute-force want gebruikers als admin, sales, webmaster etc worden gebruikt (die bestaan overigens niet). Sinds deze grap raakt de terminal server soms haar netwerkverbindingen kwijt wegens een SID die ongeldig is geraakt. Ik heb het idee dat dit komt doordat de DC bestookt wordt met foutieve logons.

Wat ik wel vreemd vind is dat de logon log op de DC plaatsvind en niet op de terminal server. Zodra je de RDP start kom je namelijk op de terminal server, je kan nooit direct naar de DC. Hoe ze daarop die query's uitvoeren is mij dan ook een raadsel.

Wat hebben we al geprobeerd om dit op te lossen

Als eerste gechecked of alle virusscanners up to date waren en dat bleek het geval. Ook spywarechecks gaven aan niks te vinden. Gebruikers mogen sowieso niks installeren en hebben op de virtuele werkplek geen internet. Daarbij zijn ze ook zeer beperkt in de rechten (niemand is zomaar admin).

De domain policy locked accounts na 5 verkeerde pogingen. Ik vraag mij dan ook af of die brute force attack ooit gaat werken, zodra het ooit een echt account gokt is deze met 5 pogingen gelocked.

We hebben geprobeerd het IP adres te achterhalen van de hufter die dit uitvoert. Je moet dan alleen waarschijnlijk FBI zijn om dat te traceren en komt dan zeer waarschijnlijk bij een geinfecteerde PC bij een verder onschuldig iemand uit.

Via GRC Shields Up een port scan gedaan, alle poorten behalve 25 en de RDP poort staan in stealth modus.

Alle updates zijn geinstalleerd.

Wat hebben we overwogen

Om RDP via de ISA server alleen toe te staan voor ons bekende adressen. Dit bleek alleen niet te kunnen omdat klanten juist ook vanuit een vakantieadres gebruik willen maken van de dienst.

Om RDP alleen via VPN beschikbaar te stellen. De kans is dan alleen weer dat we het zelfde gezeur krijgen op de VPN poort dus puur verschuiven van het probleem. Daarbij geef je klanten een extra "moeilijkheid" om te verbinden met de RDP sessie.

Nu de vraag

Hoe kan je dit tegengaan? en..., hoe kunnen ze van buitenaf direct account query's op de DC uitvoeren? Het zijn overigens IBM servers en sinds kort werken de remote access kaarten niet meer (gaat morgen iemand heen om dat te herstellen). Is het mogelijk dat ze het via dat kanaal proberen?

dinsdag 8 juli 2008 06:30

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Het feit dat je op de DC je aanmeldpogingen ziet komt omdat er natuurlijk geauthenticeerd moet worden, en dat loopt via de DC. Er wordt dus niet aangelogt op de DC maar geauthenticeerd.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

dinsdag 8 juli 2008 06:44

Acties:

TrailBlazer

Karnemelk FTW

Met een behoorlijk firewall kan je vast wel instellen dat een bepaald ip een maximaal keer een sesie op mag zetten voordat deze geblokkeerd wordt.

dinsdag 8 juli 2008 07:37

Acties:

Verwijderd

Topicstarter

Dank voor de reacties!,

@MicroKid, dat dacht ik ook inderdaad, maar had het idee dat deze events normaal ook verschijnen op het station van aanmelden. Daar is alleen helemaal niks te zien (zou wel alleen bij local zo zijn).

@TrailBlazer, dat lijkt mij nog best wel lastig voor een firewall om te doen. Ik denk in elk geval dat ISA server deze functionaliteit niet heeft (ik zou in elk geval niet weten waar / hoe). De login gebeurt niet op de firewall maar op de terminal server. Ik denk niet dat de firewall aan de pakketjes kan zien of de login is gelukt.

dinsdag 8 juli 2008 07:43

Acties:

TrailBlazer

Karnemelk FTW

Ja klopt maar iedere login poging zal een TCP Syn pakket zijn. Als er vanaf een ip meer dan 5 nieuwe sessies per minuut worden opgezet kan zo'n firewall dan beslissen dat dat ip voor een bepaalde tijd niet meer wordt toegelaten. Ik heb dit wel eens geconfigureerd op een Cisco IDS (intrusion detection system) geconfigureerd en dat werkte toen best wel.

dinsdag 8 juli 2008 07:43

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Wat je ook zou kunnen overwegen is om een aparte SSL/VPN oplossing neer te zetten, zoals Citrix Access Gateway. De authenticatie kan je dan lokaal of via LDAP laten plaatsvinden. Tevens kan je dan ook opgeven wie waar naartoe mag, en eventuele hackers block je dan al op dat apparaat.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

dinsdag 8 juli 2008 08:31

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Met je ISA heb je weinig mogelijkheden. Het heeft wel een IDS, maar dat kun je niet instellen. Je zou kunnen kijken of die al aanstaat. Verder kun je op die regel specifiek logging aanzetten, dan kun je wellicht zien of de aanvallen steeds van een bepaald IP-adres afkomen.

Als laatste zou ik inderdaad de opties van Microkid of Trailblazer overwegen: blijkbaar is de oplossing die je nu hebt niet veilig genoeg.

Vicariously I live while the whole world dies

dinsdag 8 juli 2008 08:54

Acties:

dreambofh

Als ik jou was zal ik ook gaan voor iets van een (SSL) VPN.
En mocht dat geen optie zijn misschien een wat hardere authenticatie met tokens of iets dergelijks.

Ook een goede firewall met een IDS zal wel een goede optie zijn. Een ISA server vind ik niet niet echt een goed voorbeeld van een goede firewall.

dinsdag 8 juli 2008 09:03

Acties:

jvanhambelgium

>Wij bieden virtuele werkplekken via windows terminal server. Omdat deze voor alle klanten door de >hele wereld beschikbaar moet zijn is er een internet RDP adres beschikbaar gesteld (op een niet >standaard poort).

>Het geheel is als volgt beveiligd: ISA 2004 server, Windows 2003 enterprise terminal server, >Windows 2003 DC, Windows 2003 exchange server. Vanuit de ISA server wordt de RPP sessie >doorgezet naar de terminal server.

Als ik dit zo lees frons ik toch wel een beetje de wenkbrauwen...dit zou ik anno 2008 wel echt niet meer zo direct op Internet hangen.
Veiligere mogelijkheden zijn oa een deftige frontend te gaan voorzien zoals hierboven reeds aangegeven werd (vb SSL VPN/FW appliance,)
Heb je nu eigenlijk het IP vanwaar de pogingen afkomstig zijn ? Dat moet je toch kunnen achterhalen uit de logs niet ?
Als dit redelijk hetzelfde blijft voor langere tijd mag je dit gerust aan een meldpunt kenbaar maken met een gefundeerde verklaring dat jouw zakelijke systemen bezocht worden door mensen die daar niet op hoeven te zijn. Of via RIPE/ARIN opzoeken bij welke provider de IP-space en een abuse@ mailtje sturen daarnaartoe. En de logs goed bijhouden natuurlijk ;-)

dinsdag 8 juli 2008 09:07

Acties:

Brahiewahiewa

boelkloedig

Verwijderd schreef op dinsdag 08 juli 2008 @ 06:23:
... Sinds deze grap raakt de terminal server soms haar netwerkverbindingen kwijt wegens een SID die ongeldig is geraakt. Ik heb het idee dat dit komt doordat de DC bestookt wordt met foutieve logons...

Je neemt hier even erg grote stappen, waarvan de logica mij ontgaat.
Hoezo zou een (terminal)server z'n netwerkverbindingen kwijtraken wegens een ongeldige SiD?
En waarom zou een SiD ongeldig raken van foutieve logons?

Overigens, als je in het eventlog van je DC kijkt, zie je toch vele malen meer succesvolle logongs dan logon failures? Een paar honderd mislukte logons zou echt niet tot enig probleem mogen leiden, tenzij je gruwelijke configuratiefouten hebt gemaakt.

Heb je trouwens in de terminal server's policies afgedwongen dat er handmatig een password moet worden ingevoerd? (Het "always prompt for password" vinkje in de logon settings van de connections). Samen met het "restrict user to one session" vinkje, krijgt je hacker er dan snel genoeg van, denk'k.

QnJhaGlld2FoaWV3YQ==

dinsdag 8 juli 2008 09:25

Acties:

sh4d0wman

Attack | Exploit | Pwn

Kies inderdaad voor een token, ssl, vpn achtige oplossing ofzo. Er zijn genoeg mooie producten welke je users veilig kunnen laten werken vanaf elke locatie ter wereld.

Stel dat je nu max 5 failed logons ofzo gaat instellen voor alle accounts dan heb je met een beetje pech straks je halve AD op slot zitten. Een potentiele DoS situatie.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 8 juli 2008 09:29

Acties:

AjDuLion

moet toch met de rest mee om te zeggen om je verbinding te beveiligen met een vpn verbinding.

desnoods zet je er een cisco firewall neer die daar all zelf alle login attempts blokkeerd (maar met vpn zou je die niet eens meer krijgen aangezien ze een vpn moeten opbouwen wat de meeste tooltjes nog lang niet ondersteunen)

vergeet niet dat dit gewoon een of ander random progje is die jou poort gescanned heeft gezien dat rdp openstaat en nu gewoon standaard password list afgaat.

het ene moment kan het dus ook hacker nr' 1 zijn en 2 dagen later hacker nr' 30

snelle oplossing (en mooie vervanging van je isa2004) zou een cisco firewall zijn met voldoende vpn verbindingen voor jou klanten.

er zijn natuurlijk alternatieven maar met bv een pix/asa heb je alles in een en breng je je firewall weer op naar 2008 specs.

Facebook - Twitter -Twitch.tv - PSN

dinsdag 8 juli 2008 19:32

Acties:

Verwijderd

Topicstarter

@Vicarious, s_broekhoven, @angel00008, bedankt voor de tips. we gaan nu inderdaad een cisco firewall plaatsen en nemen afscheid van de ISA server.

@jvanhambelgium: De insteek is altijd geweest om het voor de klant zo gemakkelijk mogelijk te houden. Die willen we niet belasten met het openen van een VPN tunnel. Tot nu toe heeft alles ook altijd perfect gedraaid maar willen we dit als voorzorg gaan voorkomen. Je ziet ook wel artikeltjes die aangeven dat VPN/RDP niet zo handig zal zijn http://www.sbsfaq.com/Lists/FAQs/DispForm.aspx?ID=11, extra problemen met printen, etc. Ik denk dat we met het melden niet veel effect hebben, zeer waarschijnlijk een gebruiker die niet weet dat zijn / haar PC is geinfecteerd of anders de dag erna misschien wel weer een nieuwe idioot die het probeert.

@brahiewahiewa, ik heb het idee dat de DC overbelast raakt, hij heeft zo'n 30 aanmeldpogingen per seconde. Het gaat dus echt niet om een paar login attempts, dit is echt een geautomatiseerde brute force hack. Restrict user to one session staat inderdaad aan, bedankt ook voor die tip!

dinsdag 8 juli 2008 22:02

Acties:

Leon T

Ni!

Vraag: in hoeverre moet de server voor de hele wereld beschikbaar zijn? Dat de klanten over de hele wereld zitten wil niet direct zeggen dat ook alle IP adressen toegang moeten krijgen tot de server.

Vaak zie je dat klanten of een statisch adres of een beperkte range gebruiken. Is het mogelijk om op de ISA voor de klanten dit in te stellen en andere adressen te blokkeren?

dinsdag 8 juli 2008 22:16

Acties:

Flyduck

Cisco ASA ondersteunt WEBVPN. Je kan je klanten dan op poort 443 laten verbinden met de firewall, ze downloaden via de site een client en kunnen daarna verbinden. Nadat ze verbinding verbreken kan je instellen dat de vpn client automatisch verwijderd word.

Je kan ook gaan voor windows 2008

Dan kan je terminal services gateway gebruiken.
Check
http://technet2.microsoft...14aaf081033.mspx?mfr=true

En met windows 2008 kan je de klanten ook remote app aanbieden (net zoals seamless windows van Citrix)

*edit*

Opzich wel interessant topic verder, heb zelf ook een soortgelijke omgeving opgezet bij mijn vorige werkgever. Ook RDP op niet standaard poort gezet toen. Eigenlijk nooit security issues gehad maar blijft toch eng idee om je login scherm zo op internet te gooien.
Als blijkt dat RDP te kraken is lopen er vele computers (lees: servers) gevaar denk ik.

[ Voor 24% gewijzigd door Flyduck op 08-07-2008 22:20 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

dinsdag 8 juli 2008 23:00

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Verwijderd schreef op dinsdag 08 juli 2008 @ 19:32:
@Vicarious, s_broekhoven, @angel00008, bedankt voor de tips. we gaan nu inderdaad een cisco firewall plaatsen en nemen afscheid van de ISA server.

Je hoeft natuurlijk niet je ISA helemaal weg te doen! Als uitgaande proxy vind ik hem nog altijd fantastisch. Je kunt namelijk simpel rules bouwen op basis van user accounts en niet van IP's. Dit maakt het maken van firewall regels naar buiten toe een stuk eenvoudiger: slechts 1 regel op je firewall om uitgaand verkeer vanaf je ISA server naar het internet toe te staan, en in je ISA definieer je de rest.

Vicariously I live while the whole world dies

dinsdag 8 juli 2008 23:58

Acties:

Bl@ckbird

Flyduck schreef op dinsdag 08 juli 2008 @ 22:16:
Cisco ASA ondersteunt WEBVPN. Je kan je klanten dan op poort 443 laten verbinden met de firewall, ze downloaden via de site een client en kunnen daarna verbinden. Nadat ze verbinding verbreken kan je instellen dat de vpn client automatisch verwijderd word.

Je kan ook een complete customized portal pagina bouwen voor je klanten. Elke klanten groep kan zijn eigen portal hebben. Vanuit deze portal kunnen klanten remote werken door een RDP of Citrix plugin te gebruiken. Dit is via clientless SSL VPN.

Een andere optie is om dit via een thick clients te doen.
Je klant krijgt dan een sandbox omgeving. Vanuit de ASA kan je ook checks doen op de client. ( Een soort NAC, maar net niet helemaal.) Nadeel van thick clients is dat je klant local admin rechten moet hebben op z'n PC / Laptop.

Dit SSL VPN verhaal kun je evt. combineren met een token systeem van bijvoorbeeld RSA, Aladdin, Actividentity, Vasco, enz. Je hebt dan ook een sterke authenticatie.

In de ASA kun je ook een IPS (Intrusion Prevention System) module plaatsen.
Maar als je alleen HTTPS naar buiten opent moet alleen een firewall voldoende zijn.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

woensdag 9 juli 2008 09:14

Acties:

r0b

Verwijderd schreef op dinsdag 08 juli 2008 @ 06:23:
Om RDP alleen via VPN beschikbaar te stellen. De kans is dan alleen weer dat we het zelfde gezeur krijgen op de VPN poort dus puur verschuiven van het probleem. Daarbij geef je klanten een extra "moeilijkheid" om te verbinden met de RDP sessie.

Je verschuift het probleem niet, je verschuift het probleem (brute-force attempts op RDP poort) naar iets dat ervoor gemaakt is om het tegen te houden / er tegen kan / beter mee om kan gaan

Een webvpn oplossing zoals ^^ hierboven beschreven lijkt mij inderdaad een goede toepassing in deze zin.
Let wel op cross-browser / OS support, mocht dat bij jullie aan de orde zijn.

Plaatje om het te illustreren:
Afbeeldingslocatie: http://www.cisco.com/image/gif/paws/70475/webvpnasa1-1.gif

Afbeeldingslocatie: http://www.cisco.com/image/gif/paws/70475/webvpnasa1-1.gif

Willekeurige handleiding van Cisco: http://www.cisco.com/en/U...ple09186a00806ea271.shtml

Met behulp van wat macro's lijkt het erop dat je zelfs SSO (Single SignOn) kan instellen.

Bl@ckbird schreef op dinsdag 08 juli 2008 @ 23:58:
[...]
Maar als je alleen HTTPS naar buiten opent moet alleen een firewall voldoende zijn.

Maar hier ben ik het dan wel mee eens. Voor 1 service misschien iets teveel van het goede, mochten het er meerdere zijn / worden, kan je er eens naar kijken.

[ Voor 14% gewijzigd door r0b op 09-07-2008 09:16 ]

woensdag 9 juli 2008 10:42

Acties:

AjDuLion

om hoeveel mensen gaat het hier trouwens ? (die inloggen/vpn opbouwen)

de asa 5505 bv komt met standaard 10 licenties en daarna moet je er wel meerbijkopen.

wat rob ook zegt is dat je inderdaad een apperaat neerzet welke beter bestand is tegen een brute force aanval helaas moeten in deze tijd wel hardwarematige firewalls neerzetten omdat het toch steeds (en zeker voor een bedrijf als jullie) gevaarlijker word om bv een rdp service aan te bieden aan klanten zonder all teveel moeilijkheden (elke extra beveiliging die je erin bouwd is voor de hacker weer een opbstakel)

het is alleen de taak om de juiste verhouding te vinden tussen werkbaarheid/veiligheid zo kan je bv iets helemaal dicht timmeren maar duurt het inloggen 10 minuten (bij wijze van spreken)

Facebook - Twitter -Twitch.tv - PSN

donderdag 10 juli 2008 09:16

Acties:

Equator

Crew Council

#whisky #barista

Move naar Beveiliging & Virussen

vrijdag 11 juli 2008 17:02

Acties:

Verwijderd

Topicstarter

@Leon-T, We hebben klanten gehad die in Costa Rica vanuit hun hoten bij de werkplek wilde komen. Ik kan onmogelijk weten vanaf welk IP ze gaan connecten.

@FLyDuck: Tnx voor de tip, we gaan sowieso upgraden naar 2008 vanwege easy printing. Nu meteen maar uitzoeken of deze gateway het antwoord kan zijn op onze problemen.

@Vicarious: Onze gebruikers mogen geen internet verbindingen maken vanaf hun remote werkplek, dat zit helemaal dicht. De ISA server heeft verder voor ons wat dat betreft dan ook geen nut en kan dan 50 euro besparen aan licentiekosten en vervangen worden door een Cisco (of door de gateway van 2008, moeten we nog uitzoeken).

@BlackBird: Dat klinkt inderdaad als een hele mooie oplossing, maar gaan we pas overwegen als het grootschaliger wordt. Nu gaat het nog niet om bijzonder veel aansluitingen en is het te duur om iets als dit te implementeren.

@Rob, Tnx voor de aanvulling. Ik neem aan dat hier iets bedoeld wordt als de Web Workplace wat met SBS standaard erbij zit? Of zit zo'n webvpn portal bij deze firewall's ingebakken?

@Angel00008, Ze bouwen geen VPN op, het is puur een RDP sessie. Ongeveer 50 man. Doelstelling is inderdaad om het voor de klant zo simpel mogelijk te houden. Op de virtuele werkplek zelf mag erg weinig. De kans dat een virus binnenkomt is dan ook erg klein. Een brute force hack van buiten doen we nu alleen weinig aan.

We gaan de optie 2008 Gateway onderzoeken en de cisco firewall mogelijkheden. Afhankelijk daarvan zullen we het systeem dan beter gaan beveiligen. Bedankt voor alle info!

vrijdag 11 juli 2008 18:12

Acties:

r0b

Verwijderd schreef op vrijdag 11 juli 2008 @ 17:02:
@Rob, Tnx voor de aanvulling. Ik neem aan dat hier iets bedoeld wordt als de Web Workplace wat met SBS standaard erbij zit? Of zit zo'n webvpn portal bij deze firewall's ingebakken?

Dat zit inderdaad ingebakken in die apparaten. Zie het als een ActiveX control die een VPN-sessie opent, en dus zodra je de browser sluit, de sessie ook sluit.

Exacte werking verschilt per apparaat, maar dat is globaal een beetje het idee..

donderdag 24 juli 2008 08:15

Acties:

Verwijderd

Topicstarter

Nog even 2 Cisco vragen... we zijn nu aan het onderzoeken wat we nodig zouden hebben als we de ISA firewall gaan vervangen door een Cisco firewall. Het idee van een web schil VPN verbinding zodat de client geen software hoeft te installeren spreekt erg aan. Een Cisco die dat kan is bijvoorbeeld deze:

http://firewalls-hardware...10_ssl-ipsec_vpn_edition/

Dat is alleen de Cisco ASA 5510 SSL / IPsec VPN Edition. Als ik daar bij de specs / kenmerken kijk dan kom ik erg weinig firewall / NAT achtige functies tegen. Deze heb ik wel nodig om het verkeer voor Exchange, de webserver en RDP in goede banen te leiden. Als het alleen een VPN gateway is dan voldoet het niet.

Dit is dan weer een andere:

http://firewalls-hardware..._firewall_edition_bundle/

De Cisco ASA 5510 Security Plus Firewall Edition Bundle, qua firewall wel weer helemaal wat ik zoek, maar daar kom ik weer niks tegen van een webclient VPN verbinding.

Wat ik ook een beetje vreemd vind is dat die eerste router (van ongeveer 2000 euro) geen limiet aangeeft voor het aantal concurrent VPN verbindingen terwijl ook deze te koop staat:

http://firewalls-hardware...concurrent_ssl_vpn_users/

Waarbij wordt aangegeven dat hij 500 concurrent SSL gebruikers aan kan, maar die kost dan ook maar meteen 16000 euro.

Iemand misschien nog een goede tip?