Attacchi Brute Force Rdp

Attacchi Brute Force Rdp. Proteggersi con RdpGuard.

Attacchi Brute Force Rdp ne avevamo parlato nello scorso post ed avevamo elencato alcuni modi per proteggersi contro gli attacchi di forza bruta provenienti dall’esterno della rete.

Questi attacchi tentano di effettuare connessioni costanti al sistema variando la password fino a quando non riescono finalmente a indovinare e accedere al sistema con le autorizzazioni di gestione per essere in grado di eseguire qualsiasi attività l’attaccante vuole.

Se non hai avuto modo di leggere l’articolo ecco il link: Brute Force protocollo RDP. Come difendersi da questi attacchi?

In questo post voglio farvi conoscere un programma specifico per gli attacchi Brute Force Rdp: RdpGuard

Attacchi Brute Force Rdp: conosciamo RdpGuard.

RDPGuard è uno strumento per la protezione degli attacchi orientati verso il protocollo RDP, ma che nel tempo ha aggiunto alcuni altri protocolli per proteggere (RDP, FTP e SQL Server) al fine di rilevare e bloccare tutti quegli aggressori che eseguono attacchi di forza bruta contro i diversi servizi del nostro sistema operativo Windows.

RDPGuard è un’applicazione a pagamento, anche se ha una versione di prova completamente funzionale. Possiamo scaricare RDPGuard dal suo sito principale.

Come funziona RDPGuard è semplice: questa applicazione analizzerà le connessioni di sistema e il tipo di autenticazioni che vengono inviate al sistema. In caso di rilevamento di più tentativi di accesso in uno qualsiasi dei protocolli installati e utilizzati, il programma bloccherà automaticamente per un certo periodo di tempo l’indirizzo IP di qualsiasi connessione al server.

Come configurare RdpGuard contro attacchi a Forza Bruta

RdpGuard rileva e blocca gli attacchi di forza bruta basati su dizionario contro RDP Server. Funziona con tutti i livelli di sicurezza RDP: RDP Security Layer, Negotiate, SSL (TLS)

Per configurare  RdpGuard avviare RdpGuard Dashboard e fare clic sul collegamento accanto a RDP

 

Attacchi Brute Force Rdp - Configurazione RdpGuard
Attacchi Brute Force Rdp – Configurazione RdpGuard

Si aprirà la finestra di dialogo Impostazioni RDP:

Attacchi Brute Force Rdp - Impostazioni
Attacchi Brute Force Rdp – Impostazioni

Selezionare il metodo di monitoraggio del traffico:

Come probabilmente saprai, Windows 2008 (e 2008 R2) non scrive l’indirizzo IP dell’utente malintenzionato nel registro eventi di protezione quando le connessioni RDP vengono effettuate tramite TLS/SSL.

Per risolvere questo problema, RdpGuard utilizza approcci alternativi basati sul traffico per rilevare le connessioni RDP in ingresso quando TLS o Negoziazione livello di protezione è selezionato per la crittografia RDP.

Questi approcci sono:

Raw Sockets – Non funziona su Windows Server 2008 o con firewall.
WinPcap – Funziona su tutte le edizioni di Windows, WinPcap deve essere installato.

Monitoraggio tramite sockets raw

Questo metodo di monitoraggio funziona su Windows Server 2008 R2 solo se non sono installati firewall di terze parti o antivirus. Funziona fuori dalla scatola e non richiede alcun software addizionale.

Indirizzi da monitorare:

Quando il monitoraggio tramite Raw Sockets è abilitato, RdpGuard è in ascolto sulla porta RDP per ogni indirizzo IP associato alla macchina. Ciò può influire sulle prestazioni del server se è presente un numero elevato di indirizzi IP associati alla macchina.

Per evitare una riduzione delle prestazioni, è consigliabile limitare il numero di indirizzi IP disponibili per la connessione RDP:

Aprire MMC di Windows Firewall (wf.msc)
Selezionare la sezione Regole in entrata
Ottenere le proprietà della regola Desktop remoto (TCP-In)
Nella scheda Ambito, scegliere l’opzione per selezionare IP specifici nella sezione “Indirizzo IP locale”
Aggiungere l’indirizzo IP a cui si desidera consentire la connessione delle connessioni RDP
Al termine della configurazione del firewall, è possibile aggiornare gli indirizzi da monitorare in RdpGuard.

Monitoraggio tramite WinPcap

Questo metodo di monitoraggio funziona su tutte le edizioni di Windows Server  ma richiede un’installazione software aggiuntiva. È necessario scaricare e installare WinPcap.

3. Specificare una o più porte RDP da monitorare (è possibile ignorare questo passaggio se si utilizza RDP su una singola porta)

4. Fare clic su Salva per salvare le modifiche e riavviare il servizio RdpGuard.

Conclusione

RdpGuard è un ottimo programma contro attacchi Brute Force Rdp ed è compatibile con diverse versioni del sistema operativo Windows (Windows Vista/7/8/8.1/10 e Windows Server 2003/2008/2012/2016/2019).

Dai un’occhiata al Registro eventi di sicurezza del tuo server. Quanti tentativi di accesso non riusciti vedi? Il registro può prendere nota di migliaia di tentativi di accesso non riusciti da un singolo indirizzo IP. Ciò significa che qualcuno sta cercando di trovare una password per accedere al server. Non perdere tempo!

Altre guide presenti in questo blog:

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003