RDP Bruteforce schutz

Momentan sind im Internet wieder Würmer unterwegs die RDP Ports auf´s Korn nehmen. Leider sind die Microsoft Bordmittel nur bedingt in der Lage dem Problem Herr zu werden.
Es gibt eine Hand voll Tools auf dem Markt die das Problem lösen können.

Wir haben uns zwei kostenlose Lösungen angesehen und haben uns für IPBAN entschieden.

Es ist sehr spartanisch und kann nur über das Editieren einer Konfigurationsdatei konfiguriert werden, dafür erkennt es einen Angriff sehr schnell.

Was macht das Programm?
– Überwachen des Audit Logs
– Blocken der IP des Angreifers mit Hilfe der Windows Firewall
– Freigabe der geblockten IP nach einem bestimmten Zeitintervall

Vorarbeiten:
Unter System / Erweiterte Einstellungen
– RemoteRemoteverbindung mit diesem Computer zulassen –> anhaken
– Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen) –> hier muss unbedingt der Haken raus

Dann in der Lokalen Sicherheitsrichtlinie:
– Lokale Richtlinien
— Überwachungsrichtlinie
Anmeldeereignisse überwachen –> nur Fehler
Anmeldeversuche überwachen –> nur Fehler

– Sicherheitsoptionen (Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr)
— Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen: Überwachung für alle Konten aktivieren
— Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr: Alle Konten verweigern
— Netzwerksicherheit: LAN Manager-Authentifizierungsebene: Nur NTLMv2-Antworten senden. LM & NTLM verweigern

Sind die Vorarbeiten abgeschlossen haben wir sichergestellt, dass auch tatsächlich eine IPAdresse bei dem fehlgeschlagenen Anmeldeversuch angezeigt wird.

Danach einfach das Programm IPBAN runter laden und die enthaltene ReadMe Datei beachten.

Beispiel Befehl zum Dienst registrieren: sc create IPBAN type= own start= auto binPath= C:\rdp\ipbanipban.exe DisplayName= IPBAN

Auch die anderen Programme die wir getestet hatten waren ganz gut:

– EvlWatcher von Michael Schönbauer http://nerderies.blogspot.de/ (kostenlos)
Schöne GUI mit dem noch mal unterschieden werden kann zwischen temporären Sperren oder Permanenten
Wichtig damit es funktioniert müssen die gleichen Vorarbeiten wie für IPBan ausgeführt werden

– RDPGuard von rdpguard.com ca.90€
Macht alle notwendigen Einstellungen wohl selbst bzw. bekommte seine Daten per Eventsink
Auch eine schöne GUI mit OneClick Analyse der gesperrten IP Adresse
Mengenrabatt beim Kauf von mehreren Lizenzen

Nicht getestet aber dennoch zu erwähnen
– Botfence von http://www.servolutions.de den Machern von PopCon
Preis pro Client laut Webseite 199€

Vielleicht sollte man auch in Betracht ziehen den RDP Server zusätzlich mit MultiOtp ab zu sichern. Zusätzlich zum Passwort kann man dann noch den Google Authenticator benutzen. Das ist auch eine feine Sache. Wir schreiben dazu demnächst auch etwas.

Nachtrag: Obwohl mal wieder alle auf Microsoft schimpfen gibt es doch ein paar Boardmittel die etwas taugen – Stichwort IPSEC –
Kurz nach dem ich den Beitrag geschrieben hatte bin ich bei der UNI-Rostock fündig geworden. Dort wird der IPSec Schutz beschrieben und eine super einfache Anleitung um es in 3 min. umzusetzen.

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Xu54P1

Bitte geben Sie den Text vor: