Назад | Перейти на главную страницу

IIS - Обнаружение логинов грубой силы и распыления паролей

TL; DR;

Какие методы используются для обнаружения брутфорса входа в систему и / или распыления пароля на веб-сайтах, размещенных в IIS (включая SharePoint, OWA и т. Д.)?

ModSecurity

Есть много инструментов для других операционных систем, чтобы решить эту проблему, в первую очередь ModSecurity. Хотя он был портирован для поддержки IIS, он не интегрируется с IIS так же хорошо, как с другими платформами. Кроме того, я был бы удивлен, узнав о каких-либо реализациях SharePoint или OWA с использованием IIS ModSecurity. Если вы там, я рекомендую вам разместить здесь свои настройки.

Многофакторный или Captcha

Оба варианта являются жизнеспособными предотвращать эти атаки, но они не обязательно обнаруживать а также выходят из строя следующими способами:

  1. В процесс входа в систему добавлены шаги для все пользователей просто для того, чтобы заблокировать эти злоупотребления при входе в систему от небольшой группы пользователей.
  2. Некоторые реализации будут отображать дополнительный метод только после успешной отправки комбинации имени пользователя и пароля.

Прокси

Размещение аппаратного устройства или облачной службы перед пулом IIS является жизнеспособным вариантом. Однако многие идентифицируют вход в систему методом грубой силы как последовательный POST запросы в течение короткого интервала времени, которые легко могут привести к ложным срабатываниям.

SIEM / Splunk

Централизованное ведение журнала работает, хотя оно может быть дорогостоящим как в денежном, так и во время, затрачиваемом на создание правил.

Ограничение скорости

В IIS есть модули, которые блокируют IP-адреса в зависимости от скорости соединения. Это не то же самое, что я спрашиваю, даже если технически эти попытки входа в систему вызовут фильтр скорости.

WebsiteFailedLogins это модуль PowerShell, доступный на GitHub и Галерея PowerShell который решает эти проблемы.

В ПРОЧТИ МЕНЯ содержит подробную информацию, хотя вот краткий обзор:

  • Требуется только доступ к журналам IIS и может запускаться из совершенно другой системы. Никаких изменений в IIS не требуется.
  • Использует Microsoft Logparser для анализа журналов IIS (обязательное условие).
  • Определяет неудачные попытки входа в систему на основе кода ответа HTTP.
  • Настраивается через .INI файл, позволяющий различные конфигурации для каждого веб-сайта.
  • Оповещения генерируются с помощью: Standard Out, электронной почты и / или журнала событий
  • Автоматизировано с помощью запланированных задач

Поскольку этот модуль доступен в галерее PowerShell, следующая команда установит этот модуль:

Install-Module -Name WebsiteFailedLogins