RDP Error interno

Desde hace unos días unos clientes que acceden por RDP nos indicaron que aparecía un error al intentar acceder por escritorio remoto, solo podían acceder aleatoriamente.

Tras buscar típicas soluciones y errores miramos el visor de eventos donde encontramos muchos errores de conexión en el visor de eventos.

Aparentemente un intento de fuerza bruta al RDP

Para ver que sucedía montamos un servidor SIEM «AlientVault» para examinar las conexiones del Firewall.

Configuración del firewall Sonicwall TZ400 para envio de SNMP a AlientVault

IP del server AlientVault

Creamos un Adress object con el server de AlientVault (la IP)

Configuración básica de envío de logs con puerto por defecto al alientvault

En AlientVault si filtramos por el puerto de acceso al rdp vemos las conexiones que «escupen» los logs del firewall

como se ve en la imagen tenia dos IPs de rusia que intentan conectarse continuamente.

Bloqueo de las direcciones:

En SonicWall creamos objects con las ips a bloquear

las metemos en una Address group

Creamos un Access Rules donde marcaremos esas ips como DENY

Si volvemos a la maquina con problemas y eliminamos los registros de seguridad y refrescamos veremos que desaparecen los intentos de acceso fallido y el error de error interno.

Saludos.

1 Comment found

comments user

León - 20 noviembre, 2019

Nunca hubiera pensado que un ataque sería la causa de bloqueos en el RDP. Muchísimas gracias, primero por ver el problema y segundo, por compartir con tu comunidad este descubrimiento!

Responder

Add Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Who makes the best rolex replica? You'll find out about it on our website - perfectrolex.io