Küçük (Windows tabanlı) bir sunucu çalıştırıyorum. Günlükleri kontrol ettiğimde, düzenli olarak (başarısız) şifre tahmin hack girişimlerinin akışını görüyorum. Bu girişimleri kaynak IP adreslerinin sahiplerine bildirmeye çalışmalı mıyım yoksa bu girişimler günümüzde tamamen normal kabul ediliyor mu ve kimse zaten onlar hakkında hiçbir şey yapmaktan rahatsız olmaz mı?
Yanıtlar:
Cevap büyük ölçüde bilgilendirmeye çalıştığınız ajansa bağlı olsa da, genel olarak yapmanız gerektiğine inanıyorum. Aslında, kuruluşumuz için kötüye kullanım posta kutusunu izlemek ve yanıtlamak birincil iş görevlerimden biri olduğu için, 'Evet Lütfen!' Diyebilirim. Diğer güvenlik kuruluşlarının üyeleriyle de aynı görüşmeyi yaptım ve cevaplar büyük ölçüde aşağıdakilerden oluşuyordu:
Ben, tabii, size söylemeyeceğim için bu kurallara uyar, ancak ben raporlama tarafında erring öneriyoruz. Genellikle fazla çaba gerektirmez ve diğer taraftaki adamlara gerçekten yardımcı olabilir . Akıl yürütmeleri, İSS'lerin genellikle anlamlı eylemlerde bulunacak pozisyonlarda olmamalarıydı, bu yüzden bilgiyi uzağa göndereceklerdi. Konuyu agresif bir şekilde takip edeceğimizi söyleyebilirim. Yayılma eğilimi olduğu için ağımızdaki saldırıya uğramış makineleri takdir etmiyoruz.
Asıl püf noktası, yanıtlar ve raporlama prosedürünüzü raporlar arasında ve personel arasında tutarlı olabilmesi için resmileştirmektir. En azından aşağıdakileri istiyoruz:
Ayrıca sizi iptal eden günlük mesajlarının bir örneğini de ekleyebiliyorsanız, bu da yararlı olabilir.
Normalde, bu tür bir davranış gördüğümüzde, en uygun yerde en uygun kapsamdaki güvenlik duvarı bloklarını da kurarız. Uygun tanımları önemli ölçüde neler olduğuna, ne tür bir işte olduğunuza ve altyapınızın neye benzediğine bağlı olacaktır. Bu, ana bilgisayardaki tek saldırgan IP'yi engellemekten, bu ASN'yi sınırda yönlendirmemeye kadar değişebilir.
Lynxman'ın söylediği gibi, yapabileceğiniz tek şey ISS'lerinin Kötüye Kullanımı departmanıyla iletişim kurmak ve onları bilgilendirmektir. Bu IP'yi hem Güvenlik Duvarı'nda hem de sunucuda engellerdim. İkincisi de Grup ilkesinde (AD varsa) girişimi temelli kilitleme kurulum. Şifreleriniz güçlü olduğu sürece bunun için endişelenmezdim, öğrenmek için koştuğum Sunucularım var ve gün boyu giriş denemeleri alıyorum.
Ne yazık ki bu tamamen normal, bu girişimlerin çoğu saldırıya uğramış diğer sunucular üzerinden de üretiliyor.
Yapabileceğiniz en iyi şey, bu saldırıların benzersiz bir IP adresinden ısrarla geldiğini görürseniz ve sunucunun saldırıya uğradığından şüpheniz varsa, durumu düzeltebilmeleri için bu sunucudaki kötüye / sistem yöneticilerine e-posta göndermektir. aşırı yüklendiğinde ve yüzlerce sunucunun bakımını yaptığınızda bir sunucunun izini sürün.
Diğer her durumda güvenlik duvarı, filtreleme veya yoksayma çoğunlukla iyi bir uygulamadır.
Buradaki probleminiz, bunların büyük bir kısmının, muhtemelen ev kullanıcılarının bilgisayarları olan ve muhtemelen dinamik adresleme planlarında bulunan çeşitli ülkelerde, tehlikeye atılan makinelerden gelmesi.
Bu, makinelerin sahiplerinin saldırı yönlendirdiklerini bilmedikleri ve umursamadıkları anlamına gelir, yasaların gerçekten umursamadığı ülkelerde olabilirler ve İSS muhtemelen umursamıyor ve her durumda kazanıyor IP adresini kimin kullandığını görmek için günlükleri trol etmek istemiyor.
En iyi plan lynxman's, Jacob's ve packs 'in bir kombinasyonudur - genellikle bunları engeller, ancak ortak suçlular olup olmadığını görmek için bir senaryo hazırlayın ve özellikle iletişim araçlarınızı bu ISS'lerin Kötüye Kullanım departmanlarına gönderin.
Zamanınızı bu şekilde daha iyi kullanın.