Atak DDoS na usługi katalogowe AD poprzez Skype dla Firm

Podczas wdrażania usług Skype dla Firm na urządzeniach przenośnych, laptopach lub jakichkolwiek innych urządzeniach mobilnych poza siecią firmową, należy zwrócić szczególną uwagę na usługi uwierzytelniania oraz sposób publikacji usługi Skype dla Firm w Internecie.

 

 

Standardowo, zarówno usługa w chmurze Skype Online, jak również rozwiązanie Skype dla Firm udostępnione z własnego centrum danych, nie posiada dodatkowych zabezpieczeń na wielokrotne, błędne logowanie użytkowników końcowych. Zbyt duża widoczność tych usług zwiększa ryzyko zablokowania kont w usłudze Active Directory (AD). Atakujący często zna strukturę nazewniczą kont użytkowników lub może je odgadnąć w prosty sposób (np. Jan.Kowalski@firma.pl, JKowalski@firma.pl. itd.). Jeśli wykorzysta te dane do błędnego logowania, polityki zabezpieczeń mogą zablokować konto, a użytkownik prawidłowo logujący się do sieci i do usług, nie będzie mógł uzyskać dostępu do żadnych usług, nawet wewnętrznych, które wymagają dostępu z poziomu konta firmowego.

 

 

W celu właściwej ochrony należy zabezpieczyć i monitorować równolegle wszystkie możliwe kanały uwierzytelniania:

 

  • Dane do logowania w usłudze Skype dla firm z poziomu urządzenia stacjonarnego lub mobilnego
  • Dane logowania w aplikacjach Web
  • Dane służące do wydzwaniania się do usług zdalnych np. spotkania online czy webinarów
  • Każdy login usługi NTLM/Basic lub SOAP wysyłany za pomocą protokołu HTTP do serwera głównego Skype dla firm
  • Zapytania o autentykację NTLM wysyłane za pomocą protokołu SIP do serwera brzegowego
  • Exchange Web Service (EWS)

 

 

Jeżeli firma stosuje różne polityki ochrony dla SIP i mobilnego protokołu HTTP, osoba atakująca może wysyłać próby uwierzytelnienia za pośrednictwem oddzielnych kanałów i przekroczyć określony limit logowań. W takim przypadku atakujący może spowodować zablokowanie konta będącego celem ataku.

 

Przykład:

Jeśli polityka bezpieczeństwa sieciowego zablokuje konto po pięciu próbach logowania, atakujący może wysłać trzy próby logowania przez telefon komórkowy, posiadający usługę Skype, a kolejne trzy do serwera brzegowego SIP. Obydwa te działania mogą spowodować zablokowanie danego konta sieciowego bez osiągania limitu na każdym kanale.
Większość rozwiązań proxy oferowanych na rynku, nie końca radzi sobie z uwierzytelnianiem usług SOAP i SIP, ponieważ struktura ich działania jest dedykowana głównie usłudze Skype.

 

Najbardziej skutecznym sposobem zapobiegania takim atakom jest posiadanie zunifikowanego rozwiązania, które ochroni rozproszone zasoby.

 

SkypeShield oferuje ochronę zarówno pojedynczej witryny, jak i wielu witryn przed atakami DDoS. Wszystkie próby uwierzytelnienia AD z kanałów wymienionych powyżej są monitorowane przez SkypeShield. Nieudane próby są zliczane i przechowywane w centralnej tabeli bazy danych, która jest współdzielona przez wszystkie komponenty SkypeShield.

 

SkypeShield monitoruje próby uwierzytelnienia logowania do Active Directory dla wszystkich usług Microsoft Skype dla Firm. SkypeShield zlicza nieudane próby logowania, a po osiągnięciu zdefiniowanego limitu blokuje dalsze próby logowania do serwerów AD. Takie „miękkie blokowanie” zapobiega całkowitemu zablokowaniu kont AD.

 

 

Możesz sprawdzić podatność używając tego bezpłatnego narzędzia <LINK>.

 

 

Jeśli jesteś zainteresowany tego typu rozwiązaniem, napisz do nas.