Privind jurnalele noastre NPS, văd că suntem ciocăniți; un actor online face o forță brută asupra diferitelor nume de conectare și parole.
În general, aceasta nu este o problemă... încă. Nu se pare că a avut loc o încălcare (mai ales că nu este o singură conectare încercată de mai multe ori, ci mai degrabă nume de conectare aleatorii).
Cu toate acestea, am identificat câteva probleme cheie pe care încă nu sunt sigur cum să le rezolv.
- Serverul care găzduiește NPS este responsabil pentru autentificarea împotriva DC-ului nostru și conține jurnalele (oarecum vechi). Din păcate, am descoperit că IP-ul sursă pentru aceste încercări este firewall-ul nostru, mai degrabă decât orice sursă online, și mă îndoiesc cumva că firewall-ul nostru a fost compromis.Din moment ce avem de-a face cu protocolul SSTP, a trebuit să stabilesc o regulă DNAT; Înțeleg că această regulă ar trebui să treacă IP-ul sursă, dar uitându-mă la jurnalele nu pare să fie cazul. O regulă DNAT nu ar trebui să treacă IP-ul sursă? Dacă nu, atunci ce fel de regulă de firewall ar trebui să setez pentru ca înregistrarea să funcționeze corect?
- Privind cererile de autentificare reușite, nu văd nicio modalitate de a găsi ce IP le-au fost atribuite. Desigur, pot să mă uit la serverul SSTP în sine pentru a vedea conexiunile ACTIVE, dar dacă s-a întâmplat ceva în trecut, se pare că informațiile s-au pierdut. Există șanse mari să trebuiască să activez mai întâi ceva pentru a salva acele informații, dar am căutat deja și nu găsesc nimic. Proprietățile SSTP au o secțiune „Înregistrare” care... nu pare să funcționeze. Fișierul țintă (
%windir%\tracing\RaMgmtUIMon.log) pare a fi goală.
- Există vreo modalitate de a implementa un fel de sistem „anti-ciocănire” pentru SSTP
