¿Debo reportar intentos de piratería?

12

Estoy ejecutando un servidor pequeño (basado en Windows). Cuando reviso los registros, veo un flujo constante de intentos de piratería (sin éxito) de adivinar contraseñas. ¿Debería tratar de informar esos intentos a los propietarios de las direcciones IP de origen, o estos intentos hoy en día se consideran completamente normales y, de todos modos, nadie se molestaría en hacer nada al respecto?

Mormegil
fuente

Respuestas:

15

Si bien la respuesta puede depender en gran medida de la agencia que está intentando informar, creo que en general debería hacerlo. De hecho, dado que monitorear y responder al buzón de abuso de nuestra organización es una de mis principales tareas laborales, puedo decir positivamente: '¡Sí, por favor!'. Tuve esta misma conversación con miembros de otras organizaciones de seguridad y las respuestas parecían consistir en gran medida en:

  • Si la información whois en el IP muestra una empresa o universidad, entonces informe
  • Si la información whois en la IP muestra un ISP, entonces no te molestes

Yo, por supuesto, no le dirá a seguir esas reglas, pero yo recomendaría errar en el lado de los informes. Por lo general, no requiere mucho esfuerzo y realmente puede ayudar a los muchachos del otro lado. Su razonamiento fue que los ISP no suelen estar en condiciones de tomar medidas significativas, por lo que archivarán la información. Puedo decir que seguiremos agresivamente el asunto. No apreciamos las máquinas pirateadas en nuestra red, ya que tienden a extenderse.

El verdadero truco es formalizar su respuesta y el procedimiento de presentación de informes para que pueda ser coherente entre los informes, así como entre el personal. Queremos, como mínimo, lo siguiente:

  1. Dirección IP del sistema atacante
  2. Marca de tiempo (incluida la zona horaria) del evento
  3. Las direcciones IP de los sistemas en su extremo

Si también puede incluir una muestra de los mensajes de registro que lo alertaron, eso también puede ser útil.

Normalmente, cuando vemos este tipo de comportamiento, también instituimos bloques de firewall del alcance más apropiado en la ubicación más apropiada. Las definiciones de apropiado dependerán significativamente de lo que esté sucediendo, en qué tipo de negocio se encuentre y cómo se vea su infraestructura. Puede variar desde bloquear la única IP de ataque en el host, hasta no enrutar ese ASN en el borde.

Scott Pack
fuente
Gracias, es bueno saberlo. ¿Existen herramientas fáciles de implementar para ayudar a automatizar dichos informes? ¿Identificando los tipos de abuso que son útiles para denunciar, encontrando a quién informar, incluida la información útil, lidiando con los informes que se devuelven, etc.?
nealmcb
@Nealmcb: hay sistemas IDS caros y divertidos que pueden resumir todo esto. He visto a Cisco MARS hacerlo. No sé si hay opciones baratas / gratuitas que faciliten esto, pero si su conjunto de registros es pequeño, probablemente pueda escribir un rascador de registros para presentarle un informe fácil de usar.
mfinni
2

Este es un ataque de adivinación de contraseña conocido como ataque de fuerza bruta. La mejor defensa es asegurarse de que las contraseñas de los usuarios sean seguras. Otra solución es bloquear una dirección IP con múltiples inicios de sesión fallidos. Los ataques de fuerza bruta son difíciles de detener.

alvosu
fuente
2

Como dijo Lynxman, todo lo que realmente puede hacer es contactar al departamento de Abuso de sus ISP e informarles. Bloquearía esa IP tanto en el Firewall como en el servidor. En segundo lugar, también configuraría el bloqueo basado en el intento en la directiva de grupo (si tiene AD). Mientras sus contraseñas sean seguras, no me preocuparía, tengo servidores que ejecuto para aprender y recibo intentos de inicio de sesión durante todo el día.

Jacob
fuente
Lo que quise decir fue contactar a sus ISP (no sucedió nada importante, el ataque no fue exitoso, por lo tanto, contactar al ISP es todo lo que quiero hacer). ¿Debería hacerlo o es una pérdida de tiempo?
Mormegil
@mormegil Depende, normalmente lo hago, pero si es en Rusia o en un país del antiguo bloque soviético, no me molesto. Pueden anular la ruta hacia usted, lo que hará que el tráfico de él hacia usted se detenga.
Jacob
1

Desafortunadamente, es completamente normal, la mayoría de estos intentos se generan a través de otros servidores que también han sido pirateados.

Lo mejor que puede hacer es que si ve que estos ataques persisten desde una dirección IP única y sospecha que el servidor fue pirateado es enviar un correo electrónico a los maltratadores / administradores del sistema en ese servidor para que puedan solucionar la situación, es bastante fácil perder rastrear un servidor cuando estás sobrecargado y mantener cientos de ellos.

En cualquier otro caso, cortafuegos, filtrado o ignorar es principalmente una buena práctica.

Lynxman
fuente
1

Su problema aquí es que es probable que el gran número de estos provenga de máquinas comprometidas, en varios países, que probablemente sean PC de usuarios domésticos y probablemente estén en esquemas de direccionamiento dinámico.

Lo que significa que los propietarios de las máquinas no saben que están enviando ataques, y no les importa, pueden estar en países donde a la ley realmente no le importa, y a los ISP probablemente no les importa y, en cualquier caso, ganaron No quiero rastrear registros para ver quién estaba usando esa dirección IP.

El mejor plan es una combinación de Lynxman, Jacob's y packs: generalmente los bloquea, pero configura un script para ver si hay culpables comunes y envía específicamente tus comunicaciones a los departamentos de Abuso de esos ISP.

Mejor uso de su tiempo de esa manera.

Rory Alsop
fuente