Erkennung von SSH-Brute-Force-Angriffen

Ziel

Angreifer können mit Brute-Force-Angriffen Zugriff auf Zugangsdaten erhalten (T1110). Wenn diese Techniken über das Netzwerk angewendet werden, kann Threat Defender sie erkennen und blockieren.

Mittels Event-Tracking-Tabellen und dynamischer Netzwerksegmentierung werden alle SSH-Verbindungen in einem internen Unternehmensnetzwerk nachverfolgt und Brute-Force-Angriffe werden erkannt. Der Zugriff auf interne Ressourcen wird für mutmaßliche Brute-Force-Angreifer blockiert.

Das Korrelationsszenario erstellen

Navigieren Sie zunächst zu Policy > Advanced Correlation. Legen Sie ein Korrelationsszenario an, das den Rahmen für die benötigten Event-Tracking-Tabellen, das dynamische Netzwerkobjekt und den Regelsatz bildet.

Die Event-Tracking-Tabellen erstellen

Öffnen Sie im Korrelationsszenario den Tab Event Tracking Tables. Erstellen Sie eine Event-Tracking-Tabelle, die Quellports pro IP-Adresse speichert.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Event-Tracking-Tabelle:

Name	Retention Time	Primary Attribute Type	Max. Nein. Primary	Secondary Attribute Type	Max. Nein. Secondary per Primary
`ETT SSH` `- Ports per IP`	`10`	`IP Address`	`5000`	`Source Port`	`100`

Bemerkung

Stellen Sie unter Maximum Number of Primary Attributes sicher, dass die Tabelle groß genug für ihr Netzwerk ist.

Eine ausführliche Anleitung zur Erstellung einer Event-Tracking-Tabelle finden Sie unter Eine Event-Tracking-Tabelle erstellen.

Das dynamische Netzwerkobjekt erstellen

Erstellen Sie ein dynamisches Netzwerkobjekt im Korrelationsszenario, das die SSH-Brute-Force-Clients speichert.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für das dynamische Netzwerkobjekt:

Name	Network	Size	Timeout
`SSH Brute Forcers`	External	`10000`	`0`

Eine ausführliche Anleitung zur Erstellung eines dynamischen Netzwerkobjekts in einem Korrelationsszenario finden Sie unter Ein dynamisches Netzwerkobjekt erstellen.

Bemerkung

Achten Sie darauf, dass das dynamische Netzwerkobjekt groß genug ist, um alle Geräte zu fassen.

Tipp

Ein Timeout von 0 bedeutet, dass die Einträge nicht automatisch entfernt werden.

Den Regelsatz erstellen

Um SSH-Verbindungen zu überwachen und Datenverkehr von möglichen Angreifern zu verwerfen, werden in diesem Korrelationsszenario die folgenden drei Regeln benötigt:

Regel 1 verwirft stillschweigend den Datenverkehr, der von Geräten im Netzwerkobjekt SSH Brute Forcers ausgeht. So werden die identifizierten ARP-Spoofing-Geräte isoliert.

Regel 2 trägt alle Client-IP-Adressen und Quellports von SSH-Verbindungen in die Event-Tracking-Tabelle ETT SSH - Ports per IP ein.

Regel 3 zählt die Einträge in der Event-Tracking-Tabelle ETT SSH - Ports per IP. Wenn einer Client-IP-Adresse mehr als 20 Quellports innerhalb von zehn Sekunden zugeordnet werden, kann ein Brute-Force-Angriff im Gang sein. Deshalb werden alle Clients mit mehr als 20 Einträgen dem dynamischen Netzwerkobjekt SSH Brute Forcers zugeordnet.

Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:

Source	Destination	Condition	Actions
`SSH Brute Forcers`	`Any`		Final Action: Drop Traffic and Stop Processing
`Any`	`Any`		Add to Event Tracking Table Event Tracking Table: `ETT SSH - Ports per IP` Primary Attribute: `Client Address` Secondary Attribute: `Client Port`
`Any`	`Any`	Advanced Correlation Condition: Number of Similar Events in Event Tracking Table Event Tracking Table: `ETT SSH - Ports per IP` Count entries equal to: `Client Address` Minimum number of entries: `20`	Dynamic Network Object Operation: `Add` Host Identifier: `IP Address` Who: `Client` Target Dynamic Network Object: `SSH Brute Forcers`

Eine ausführliche Anleitung zur Erstellung einer Regel in einem Korrelationsszenario finden Sie unter Regeln in einem Korrelationsszenario erstellen.

Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.

Ergebnis

Threat Defender überwacht alle SSH-Verbindungen und zählt die Quellports jeder Client-IP-Adresse. Wenn eine Client-IP-Adresse erkannt wird, die mehr als 20 Quellports innerhalb von zehn Sekunden verwendet, kann ein SSH-Brute-Force-Angriff im Gang sein.

Der Verursacher des SSH-Brute-Force-Angriffs wird identifiziert. Threat Defender fügt ihn zum dynamischen Netzwerkobjekt hinzu, um ihn zu isolieren. Datenverkehr von Hosts in diesem dynamischen Netzwerkobjekt wird blockiert. Durch diese Hosts durchgeführte SSH-Brute-Force-Angriffe werden unterbrochen.

Bemerkung

Wenn der mutmaßliche Brute-Force-Angriff behoben ist, müssen Sie das dynamische Netzwerkobjekt leeren. Klicken Sie dazu auf RESET STATE im Korrelationsszenario.