Глядя на наши журналы NPS, я вижу, что нас забивают; какой-то онлайн-актер взламывает различные логины и пароли.
В общем, это не проблема... пока. Не похоже, что произошло нарушение (тем более, что это не одна попытка входа в систему несколько раз, а скорее случайные имена для входа).
Однако я выявил некоторые ключевые проблемы, которые пока не знаю, как решить.
- Сервер, на котором размещен NPS, отвечает за аутентификацию в нашем DC и содержит (несколько устаревшие) журналы. К сожалению, я обнаружил, что исходным IP-адресом для этих попыток является наш брандмауэр, а не какой-либо онлайн-источник, и я почему-то сомневаюсь, что наш брандмауэр был скомпрометирован.Поскольку мы имеем дело с протоколом SSTP, мне пришлось установить правило DNAT; насколько я понимаю, это правило должно передавать исходный IP-адрес, но, судя по журналам, это не так. Разве правило DNAT не должно передавать исходный IP-адрес? Если нет, то какое правило брандмауэра мне следует настроить, чтобы ведение журнала работало правильно?
- Глядя на успешные запросы аутентификации, я не вижу способа узнать, какой IP-адрес им был назначен. Я могу, конечно, посмотреть на сам SSTP-сервер, чтобы увидеть АКТИВНЫЕ соединения, но если что-то произошло в прошлом, кажется, что информация потеряна. Есть хороший шанс, что мне нужно сначала включить что-то, чтобы сохранить эту информацию, но я уже посмотрел и ничего не могу найти. В свойствах SSTP есть раздел «Ведение журнала», который... не работает. Целевой файл (
%windir%\tracing\RaMgmtUIMon.log) кажется пустым.
- Есть ли способ реализовать какую-то "анти-хаммеринговую" систему для SSTP?
