Какие методы используются для обнаружения брутфорса входа в систему и / или распыления пароля на веб-сайтах, размещенных в IIS (включая SharePoint, OWA и т. Д.)?
Для решения этой проблемы существует множество инструментов для других операционных систем, главным из которых является ModSecurity
. Хотя он был перенесен для поддержки IIS, он не интегрируется с IIS так же хорошо, как с другими платформами. Кроме того, я был бы удивлен, узнав о каких-либо реализациях SharePoint или OWA с использованием IIS ModSecurity. Если вы там, я рекомендую вам опубликовать здесь свою настройку.
Оба являются жизнеспособными вариантами предотвращения этих атак, но они не обязательно обнаруживают , а также приводят к сбоям следующими способами:
Размещение аппаратного устройства или облачной службы перед пулом IIS является жизнеспособным вариантом. Однако многие идентифицируют вход методом грубой силы как последовательные запросы POST
в течение короткого интервала времени, что может легко привести к ложным срабатываниям.
Централизованное ведение журнала работает, хотя оно может быть дорогостоящим как в денежном, так и в денежном отношении. а также время, потраченное на создание правил.
В IIS есть модули, которые блокируют IP-адреса в зависимости от скорости соединения. Это не то же самое, что я спрашиваю, даже если технически эти попытки входа в систему вызовут фильтр скорости.
WebsiteFailedLogins
- это модуль PowerShell, доступный на GitHub и галерее PowerShell , который решает эти проблемы.
README содержит подробную информацию, хотя вот краткий обзор:
Microsoft Logparser
для анализа журналов IIS (необходимое предварительное условие). ] .INI
файл, позволяющий настраивать разные конфигурации для каждого веб-сайта. Доступна в галерее PowerShell, следующая команда установит этот модуль:
Install-Module -Name WebsiteFailedLogins