1. ¡Bienvenido a MuchoCacharro! Registrate, es sencillo y podrás comentar dentro de nuestra comunidad

Windows Server 2016 Cómo detener ataques por fuerza bruta

Tema en 'IT/PRO - Windows Server, Powershell...' iniciado por Javier Gualix, 25 Septiembre 2018.

  1. Javier Gualix

    Javier Gualix Administrador Miembro del equipo

    Registrado:
    15 Septiembre 2018
    Mensajes:
    74
    Me Gusta recibidos:
    42
    En los últimos días, se ha incrementado el número de servidores expuestos a Internet con un gran recuento de auditorías de inicio de sesión incorrectas. Esto es debido a que las última variantes de algunos ransomwares (como FOX) buscan sus víctimas e intentan penetrar a través del puerto asignado para el escritorio remoto utilizando un ataque por fuerza bruta. Podemos ver si estamos bajo ataque desde el apartado Registros de Windows > Seguridad del Visor de eventos.

    upload_2018-9-25_11-12-0.png

    Cómo ver la dirección IP de la que proviene el ataque
    El visor de eventos no nos proporciona demasiada información sobre la procedencia del intento de inicio de sesión más allá de ver el nombre de usuario con el que intenta acceder. Al tratarse de un ataque por fuerza bruta, utilizan un diccionario cargado de nombres que, además, va incrementando a medida que el ransomware logra acceder a los distintos equipos.

    Para ver la dirección IP de procedencia, tenemos que habilitar distintos logs en el Firewall de Windows.
    1. Nos dirigimos a Panel de control > Sistema y seguridad > Firewall de Windows.

      upload_2018-9-25_11-16-16.png

    2. Pulsamos en Configuración avanzada.
    3. En el Firewall de Windows, hacemos clic sobre Propiedades de Firewall de Windows.

      upload_2018-9-25_11-18-22.png

    4. Pulsamos en el botón Personalizar... que aparece bajo Inicio de sesión.

      upload_2018-9-25_11-20-0.png

    5. Aumentamos el límite de tamaño hasta 32.000 KB y cambiamos los valores Registrar paquetes descartados y Registrar conexiones correctas a Sí. Pulsamos en Aceptar.

      upload_2018-9-25_11-21-56.png

    6. Repetimos el paso 5 en las pestañas Perfil privado y Perfil público. Pulsamos en Aceptar.
    7. Esperamos un minuto para que el log registre los intentos de intentos de inicio de sesión y con el bloc de notas abrimos el archivo %systemroot%\system32\LogFiles\Firewall\pfirewall.log

      upload_2018-9-25_11-23-44.png

    8. Ahí veremos la IP pública del atacante. En nuestro caso es 188.92.73.25.
    Crear una regla en el Firewall para bloquear la dirección IP
    Ahora que ya tenemos la dirección IP, tenemos que crear una regla en el Firewall de Windows para que bloquee las conexiones entrantes efectuadas desde esa IP. Para ello, sin salir del Firewall de Windows con seguridad avanzada, nos dirigimos al apartado de Reglas de entrada.
    1. Hacemos clic en Nueva regla...
    2. Como tipo de regla, elegimos Personalizada y pulsamos Siguiente.
    3. En el siguiente paso, mantenemos marcado Todos los programas y pulsamos Siguiente.
    4. Seguimos sin efectuar cambios y volvemos a pulsar Siguiente.
    5. El siguiente paso (Ámbito) es el más importante. Bajo ¿A qué direcciones IP remotas se aplica esta regla? marcamos la casilla Estas direcciones IP. Pulsamos el botón Agregar y escribimos la dirección IP que obtuvimos anteriormente en el cuadro de texto. Pulsamos en Aceptar y luego en Siguiente.

      upload_2018-9-25_11-31-48.png

    6. En este paso, marcamos la casilla Bloquear la conexión y pulsamos Siguiente.

      upload_2018-9-25_11-32-59.png

    7. Marcamos todos los perfiles para la aplicación de la regla y pulsamos Siguiente.
    8. Como nombre podemos ponerle, por ejemplo, Bloquear Ataques Fuerza Bruta y pulsamos Finalizar.
    9. Si todo ha ido bien, deberíamos ver la nueva regla creada.

      upload_2018-9-25_11-34-36.png
    Tras realizar esta acción, esperamos unos minutos y volvemos a comprobar el Visor de eventos. Si todo es correcto, deberíamos llevar unos minutos sin recibir nuevos registros de auditorías incorrectas.
     
  2. AsiusBlack

    AsiusBlack Nuevo miembro

    Registrado:
    28 Abril 2020
    Mensajes:
    2
    Me Gusta recibidos:
    2
    Muchas garcías, por la información y el post.

    He de añadir que, la IP, también se puede ver desde las Pestañas "General" y "Detalles":

    audit_falied.jpg

    Una vez localizada la IP, desde una consola, podemos ver las conexiones con NetStat:

    :\netstat -p TCP

    netstat.jpg

    Saludos.
     

Compartir esta página