Resumen
Una característica importante que tiene PRTG para protegerse de ataques de denegación de servicio y ataques de fuerza bruta. Adicionalmente este mecanismo también evita los impactos en el rendimiento de los cliente mal configurados.
Detalle
Cómo funciona realmente la proteción y qué acciones realiza?
- Cuando se hayan fallado 50 intentos de inicio de sesión (nombre de usuario o contraseña incorrectos), el servidor web retrasa todos los intentos de inicio de sesión consecutivos en 2 segundos.
- Todos los intentos de inicio de sesión consecutivos con contraseñas incorrectas incluso se retrasarán 120 segundos.
- El comportamiento se detiene después de 10 minutos sin intentos fallidos de inicio de sesión
Cuando se hayan dado estos errores de intento de inicio de sesión PRTG puede monstrar los siguiente mensajes a su PRTG registra estos intentos fallidos en un log, ejemplo:
“Los intentos de inicio de sesión se ralentizaron debido a que el margen de inicio de sesión fallido se superó en un corto período de tiempo”
“100 inicios de sesión fallaron desde el último inicio de PRTG”
¿Por qué PRTG tiene esta protección?
El control que tiene PRTG sobre las de credenciales de usuario, inicios de sesión y sesiones es bastante intenso sobre el CPU del PRTG Core y potencialmente bloquea muchos procesos internos, incluso el monitoreo en sí. Por lo tanto, los ataques como los ataques de descifrado de contraseñas de fuerza bruta o los ataques DoS pueden reducir de alguna manera el monitoreo y las alertas, que es el trabajo principal de PRTG.
Todo esto es con el fin que PRTG mantenga su motor principal de monitoreo en funcionamiento. Evitando asi falsos positivos en el monitoreo o perdidas de alertas.
¿De dónde vienen estos intentos de inicio de sesión incorrectos?
- Hay uno o más sistemas en la red que se conectan repetidamente al servidor PRTG con credenciales incorrectas que activan el modo de protección.
- Sistemas que se conectan al servidor PRTG a través de la API PRTG.
- También son posibles fuentes las aplicaciones para teléfonos inteligentes PRTG (PRTG para iOS y PRTG para Android, o las aplicaciones discontinuadas PRTG para Windows Phone y PRTG para BlackBerry).
- Todos los procesos que intentan cargar datos del servidor PRTG a través de llamadas API con credenciales incorrectas también pueden activar la protección contra sobrecarga.
- “Bibliotecas” con una cuenta de usuario PRTG que utiliza credenciales de Active Directory, la protección contra sobrecarga se puede activar después de cambiar la contraseña de Active Directory para esta cuenta de usuario. Un subproceso de biblioteca que se ejecuta en segundo plano provocará intentos de inicio de sesión no válidos y, por lo tanto, activará la protección contra sobrecarga. Para evitar esto, asegúrese de iniciar sesión una vez en PRTG con las nuevas credenciales después de cambiar la contraseña de Active Directory de una cuenta de usuario.
¿Cómo se puede encontrar estos sistemas corruptos?
Si no sabe qué sistemas o programas envían estas solicitudes de inicio de sesión incorrectas, consulte los archivos de registro del servidor web (carpeta “\ Logs \ webserver)”) para averiguar las direcciones IP de los sistemas que se conectan a la web servidor.
Se puede ingresar a esta carpeta de logs de Webserver por medio de PRTG administrator tool. En la pestaña Logs and info y dando clic al boton Open Log Folder…
Esta seria la ruta de los log del Webserver que se tendrian que revisar, en especifico los archivos con el nombre webserver_00000.log
2011-09-28 09:30:21 127.0.0.1 "user10658-aureliol" 127.0.0.1 8085 GET /api/table.csv id=0&count=1000&noraw=1&content=sensorxref&columns=objid&filter_type=ping&login=aureliol&passhash=*** 200 "Mozilla/3.0 (compatible; Indy Library)"
2011-09-28 09:30:23 10.0.2.201 "user10994" prtg.com 443 GET /controls/sensorstats.htm - 200 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2"
2011-09-28 09:30:23 10.0.2.201 "user10994" prtg.com 443 GET /api/getstatus.htm - 200 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2"
2011-09-28 09:30:23 10.0.2.201 "user10994" prtg.com 443 GET /icons/favicon_red.png - 200 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2"
2011-09-28 09:30:24 10.0.2.173 "user10649-dirkp" prtg.com 443 GET /api/table.xml content=sensortree&nosensors=1&id=0&nosession=1&new=1&last=2011-09-28-07-30-04&devices=&v=16511&login=dirkp&password=*** 200 "Mozilla/5.0 (compatible; PRTG Network Monitor GUI; Windows)"
2011-09-28 09:30:24 10.0.9.150 "anonymous" prtg.com 443 GET / - 200 "Mozilla 4.0"
2011-09-28 09:30:24 10.0.9.150 "anonymous" prtg.com 443 GET /index.htm - 200 "Mozilla 4.0"
2011-09-28 09:30:25 10.0.0.157 "user10649" prtg.com 443 GET /api/getstatus.htm - 200 "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.22) Gecko/20110902 Firefox/3.6.22"
2011-09-28 09:30:25 10.0.0.157 "user10649" prtg.com 443 GET /controls/sensorstats.htm - 200 "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.22) Gecko/20110902 Firefox/3.6.22"
La tercera columna muestra la dirección IP de origen de la solicitud entrante, la cuarta fila muestra “anónimo”, el ID de usuario PRTG y, si la solicitud es un intento de inicio de sesión, el nombre de usuario utilizado para iniciar sesión (“aureliol” y “dirkp” en la muestra de arriba). La última columna muestra la cadena del agente del navegador.
Tambien dentro del mismo log tambien para detectar algun intento fallido de logueo se puede buscar la siguinente cadena:
login_failed
Un intento fallido por inicio de sesión de un usuario se veria de la siguiente forma:
2011-09-28 09:30:30 10.0.2.204 "anonymous-dirk1-login_failed" prtg.com 443 GET /public/checklogin.htm loginurl=/group.htm?id=0&login=dirk1&passhash=*** 200 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0) Gecko/20100101 Firefox/7.0"
Para mayor información favor contactar a servicio@rolosa.com
