Во время работы администратором системы обнаружения вторжений ( Snort IDS ) наибольшее количество срабатываний сенсоров приходилось на попытки подобрать sshпароли к нашим серверам. Большая часть таких атак шло из зоны Китая, впрочем, Индияи США (вместе) уступали не значительно. Что, кстати, коррелирует с отчетом Symantecза 2011 год о странах-лидерах по вредоносной активности.
 |
| Топ 10 стран лидеров по вредоносной сетевой активности |
name='more'>
Естественно, атаки были не таргетинговые - 10-50 тысячобращений в сутки с различных ip-адресов. Программы перебора паролей скорей всего осуществляли перебор по схожим таблицам, и не одного взлома так и не было...
"И не будет!" - сказал уверенно ИТ-отдел - "Наши пароли, всем паролям пароли!". Вот только ИБ-отдел все одно должен бы напрячься и искать решение. А решение пришлось принять ужасное - запретить входящий трафик из Китая... но в свое оправдание хотим сказать, что виной тому взаимонепонимание с ИТ-отделом и отсутствие регламента работы с ними по данным вопросам (что ужас полнейший).
.jpg)
Разумеется, на предложение, разрешить ssh-доступ (а по хорошему и ftp-доступ... и вообще любой доступ, кроме http/https) к ресурсам организации с внешних ip-адресов, нам возразили, мол админить нам и по ночам приходится - работа у нас такая... Ну, ок, ничего не поделаешь.
Но, к сожалению, было отвергнуто и компромиссное и крайне правильное решение - сменить номера стандартных портов на свои. Например, ssh с 22на 22222. Это давало колоссальное преимущество при мониторинге брутфорса:
- Стандартный ssh-порт закрыт - значит, IDS не напрягается и ИБ-отдел не напрягается при многочисленных брутфорс-атаках.
- Если идет атака на нестандартный порт, значит, осуществляется таргетинговая атака, что не будет упущено, а следовательно, расследовано.
Но, как ни печально, тогда с ИТ-отделом мы говорили на разных языках. Это в тему, какие должны быть полномочия у службы ИБ...
