Erkennung von SSH-Brute-Force-Angriffen
Ziel
Angreifer können mit Brute-Force-Angriffen Zugriff auf Zugangsdaten erhalten (T1110). Wenn diese Techniken über das Netzwerk angewendet werden, kann Threat Defender sie erkennen und blockieren.
Mittels Event-Tracking-Tabellen und dynamischer Netzwerksegmentierung werden alle SSH-Verbindungen in einem internen Unternehmensnetzwerk nachverfolgt und Brute-Force-Angriffe werden erkannt. Der Zugriff auf interne Ressourcen wird für mutmaßliche Brute-Force-Angreifer blockiert.
Das Korrelationsszenario erstellen
Navigieren Sie zunächst zu Policy > Advanced Correlation. Legen Sie ein Korrelationsszenario an, das den Rahmen für die benötigten Event-Tracking-Tabellen, das dynamische Netzwerkobjekt und den Regelsatz bildet.
Die Event-Tracking-Tabellen erstellen
Öffnen Sie im Korrelationsszenario den Tab Event Tracking Tables. Erstellen Sie eine Event-Tracking-Tabelle, die Quellports pro IP-Adresse speichert.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Event-Tracking-Tabelle:
Name |
Retention Time |
Primary |
Max. Nein. Primary |
Secondary |
Max. Nein. Secondary |
---|---|---|---|---|---|
|
|
|
|
|
|
Bemerkung
Stellen Sie unter Maximum Number of Primary Attributes sicher, dass die Tabelle groß genug für ihr Netzwerk ist.
Eine ausführliche Anleitung zur Erstellung einer Event-Tracking-Tabelle finden Sie unter Eine Event-Tracking-Tabelle erstellen.
Das dynamische Netzwerkobjekt erstellen
Erstellen Sie ein dynamisches Netzwerkobjekt im Korrelationsszenario, das die SSH-Brute-Force-Clients speichert.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für das dynamische Netzwerkobjekt:
Name |
Network |
Size |
Timeout |
---|---|---|---|
|
External |
|
|
Eine ausführliche Anleitung zur Erstellung eines dynamischen Netzwerkobjekts in einem Korrelationsszenario finden Sie unter Ein dynamisches Netzwerkobjekt erstellen.
Bemerkung
Achten Sie darauf, dass das dynamische Netzwerkobjekt groß genug ist, um alle Geräte zu fassen.
Tipp
Ein Timeout von 0
bedeutet, dass die Einträge nicht automatisch entfernt werden.
Den Regelsatz erstellen
Um SSH-Verbindungen zu überwachen und Datenverkehr von möglichen Angreifern zu verwerfen, werden in diesem Korrelationsszenario die folgenden drei Regeln benötigt:
Regel 1 verwirft stillschweigend den Datenverkehr, der von Geräten im Netzwerkobjekt
SSH Brute Forcers
ausgeht. So werden die identifizierten ARP-Spoofing-Geräte isoliert.Regel 2 trägt alle Client-IP-Adressen und Quellports von SSH-Verbindungen in die Event-Tracking-Tabelle
ETT SSH - Ports per IP
ein.Regel 3 zählt die Einträge in der Event-Tracking-Tabelle
ETT SSH - Ports per IP
. Wenn einer Client-IP-Adresse mehr als 20 Quellports innerhalb von zehn Sekunden zugeordnet werden, kann ein Brute-Force-Angriff im Gang sein. Deshalb werden alle Clients mit mehr als 20 Einträgen dem dynamischen NetzwerkobjektSSH Brute Forcers
zugeordnet.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Condition |
Actions |
---|---|---|---|---|
|
|
Final Action: Drop Traffic and Stop Processing |
||
|
|
Add to Event Tracking Table |
||
|
|
Advanced Correlation Condition: |
Dynamic Network Object |
Eine ausführliche Anleitung zur Erstellung einer Regel in einem Korrelationsszenario finden Sie unter Regeln in einem Korrelationsszenario erstellen.
Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Threat Defender überwacht alle SSH-Verbindungen und zählt die Quellports jeder Client-IP-Adresse. Wenn eine Client-IP-Adresse erkannt wird, die mehr als 20 Quellports innerhalb von zehn Sekunden verwendet, kann ein SSH-Brute-Force-Angriff im Gang sein.
Der Verursacher des SSH-Brute-Force-Angriffs wird identifiziert. Threat Defender fügt ihn zum dynamischen Netzwerkobjekt hinzu, um ihn zu isolieren. Datenverkehr von Hosts in diesem dynamischen Netzwerkobjekt wird blockiert. Durch diese Hosts durchgeführte SSH-Brute-Force-Angriffe werden unterbrochen.
Bemerkung
Wenn der mutmaßliche Brute-Force-Angriff behoben ist, müssen Sie das dynamische Netzwerkobjekt leeren. Klicken Sie dazu auf RESET STATE im Korrelationsszenario.