Какие методы используются для обнаружения брутфорса входа в систему и / или распыления пароля на веб-сайтах, размещенных в IIS (включая SharePoint, OWA и т. Д.)?
Есть много инструментов для других операционных систем, чтобы решить эту проблему, в первую очередь ModSecurity
. Хотя он был портирован для поддержки IIS, он не интегрируется с IIS так же хорошо, как с другими платформами. Кроме того, я был бы удивлен, узнав о каких-либо реализациях SharePoint или OWA с использованием IIS ModSecurity. Если вы там, я рекомендую вам разместить здесь свои настройки.
Оба варианта являются жизнеспособными предотвращать эти атаки, но они не обязательно обнаруживать а также выходят из строя следующими способами:
Размещение аппаратного устройства или облачной службы перед пулом IIS является жизнеспособным вариантом. Однако многие идентифицируют вход в систему методом грубой силы как последовательный POST
запросы в течение короткого интервала времени, которые легко могут привести к ложным срабатываниям.
Централизованное ведение журнала работает, хотя оно может быть дорогостоящим как в денежном, так и во время, затрачиваемом на создание правил.
В IIS есть модули, которые блокируют IP-адреса в зависимости от скорости соединения. Это не то же самое, что я спрашиваю, даже если технически эти попытки входа в систему вызовут фильтр скорости.
WebsiteFailedLogins
это модуль PowerShell, доступный на GitHub и Галерея PowerShell который решает эти проблемы.
В ПРОЧТИ МЕНЯ содержит подробную информацию, хотя вот краткий обзор:
Microsoft Logparser
для анализа журналов IIS (обязательное условие)..INI
файл, позволяющий различные конфигурации для каждого веб-сайта.Поскольку этот модуль доступен в галерее PowerShell, следующая команда установит этот модуль:
Install-Module -Name WebsiteFailedLogins