Скорость реакции ES-RDP

[vendor]

А насколько быстро реагирует ES-RDP на атаку?

Допустим, некий хост начал на моем Windows сервере интенсивный перебор паролей ночью в 3:30.

Когда ваша система его остановит?

[george]

А насколько быстро реагирует ES-RDP на атаку?

Скорость реакции ES-RDP прямо определяется тем, с какой именно периодичностью запускается из Task Scheduler модуль rdp-run (именно он занимается первичным баном).

У нас это - 10 минут. При этом, если хост атакует энергично, то за это время он наберет предел ошибок, обозначенный в файле common.ps1 в этой таблице

Код: Выделить всё

# --- УПРАВЛЯЮЩАЯ ТАБЛИЦА ПРАВИЛ ПЕРВИЧНОГО БАНА (ID, Hours, Limit, Type) ---
# Здесь можно (но не рекомендуется) менять только Hours и Limit.
$BanRules = @(
    [PSCustomObject]@{ ID = 140; Hours = 24; Limit = 6;  Type = "AUTH" },
    [PSCustomObject]@{ ID = 131; Hours = 24; Limit = 12; Type = "SCAN" }
)

По нашим настройкам достаточно 6 раз неправильно ввести пароль, чтобы наша система на это среагировала (заблокировала бота).

Кстати, хороший пример скорости реакции ES-RDP на атаку можно видеть на странице stat-all.htm

Код: Выделить всё

=== [ ОТЧЕТ ПО БЕЗОПАСНОСТИ ES-RDP ] ===
Анализ логов по типам событий

>>> Выборка событий    AUTH (ID 140)
>>> Глубина анализа    24 час.
>>> Порог срабатывания 6 ударов

IP Адрес        Ударов Статус     Первый удар Последний
--------        ------ ------     ----------- ---------
88.210.63.75       128 ОБЕЗВРЕЖЕН 23.04 06:06 23.04 06:10

В 6:00 бота 88.210.63.75 "в эфире" еще не было, он появился в 6:06, а когда в 6:10 в очередной раз проснулся rdp-run, то он обнаружил 128 попыток подбора пароля со стороны этого хоста и тут же его заблокировал. Таким образом, в данном случае, атака продолжалась ровно 4 минуты.

[televendor]

У нас это - 10 минут.

А такой интервал вполне безопасен? Не произойдет ли наслоение процессов - когда предыдущий еще работает, а тут уже пришло время запускать следующий? Вы можете сказать, насколько быстро завершается у вас rdp-run.ps1 после своего запуска?

[george]

У нас это - 10 минут.

А такой интервал вполне безопасен? Не произойдет ли наслоение процессов - когда предыдущий еще работает, а тут уже пришло время запускать следующий? Вы можете сказать, насколько быстро завершается у вас rdp-run.ps1 после своего запуска?

Точную хронометрию мы, к сожалению, не проводили, но на глаз могу сказать так: данный процесс (при ручном запуске) отрабатывает на наших Windows серверах свою задачу примерно за пару секунд. Так что, при десятиминутном интервале запуска, нет ни малейшей опасности "наслоения процессов".