#msexchange Brute force attacks prevention on #Webmail #OWA with #Syspeace #hacking #security

Syspeace icon
Syspeace icon

Preventing brute force attacks against Microsoft Exchange Server and OWA Webmail

If you’re running Microsoft Exchange Server your also quite likely to have the Microsoft Exchange OWA (Webmail)
interface up & running to enable your users to use Activesync and access their email, calendars and contacts
over an easy-to-use web interface accessible over the Internet. This is just as relevant if you’re managing your
own Exchange Server or if it is a hosted Exchange at a service provider. If your provider doesn’t have a
solution for this, you may find yourself in a very difficult situation one day as explained further down.
Since the Exchange Webmail (OWA) is reachable and visible over the Internet, this of course also means that
anyone is able to try to log in to your Exchange server over the same OWA interface. They may not succeed to
login but they may try to overload your server by sending lots of login request or have your users undergo a
Denial of Service attack (a DoS attack).

Brute force attacks used as Denial of Service attacks

The OWA in itself (or does Windows Server for that matter) doesn’t have any brute force prevention mechanisms
built into it but the actual user validation is done within the Active Directory infrastructure by your domain
controller(s). Within the Microsoft line of products this is actually true for most of them such as Terminal
Server (RDS, Remote Desktop), Sharepoint, SQL Server and so on and also for Citrix since user validation is done
in the same way.
If you have for instance set up Account Lockout Policies to disable a user account after 5 failed attempts ,
anyone with knowledge of your name standards (email addrees, AD login) can basically run a script against the
server using a specicif username (or hundreds of them) and deliberatley usoing wrong passwords, thus locking the
legitimate users account and disabling them from loging in at all (in essence, they can’t even login to anything
that uses the Active Directory validation, not even their own workstations in the Office)
If such an attack is made from a single IP address, it is fairly easy to block it manually (simply block the
attack in either the external firewall or the local firewall of the Exchange server).
In reality though, this is not how such an attack occurs. Should someone really want to disrupt ypur services,
they will do this from hundreds or thousands computers at the same time and making it impossible to block
manually.

Using Syspeace as a countermeasure

With Syspeace , this is all taken care of automatically. Syspeace monitors the Windows Serevr logs for failed
login requests and if an IP address tries to login against your servers ( Exchange, Terminals Server and so on)
and fails for instance 5 times within half an hour, the IP address is automatically blocked from communicating
at all with the affected server on any level (so if you’re also running other services , they will not be able
to target them either once blocked).
Each attack is blocked, traced and reported via email that contains the source IP address, the username used,
country of origin and previous attacks from the same IP address.

Here is actually an example of how the email notification looks like (with IP address and domain name intentionally removed)
Blocked address *.*.*.* (ip-*-*-*-*.*.secureserver.net) [United States] 2015-01-14 18:45:00 Rule used (Winlogon):
Name: Catch All Login
Trigger window: 4.00:30:00
Occurrences: 5
Lockout time: 02:00:00
Previous observations of this IP address:
2015-01-14 16:44:50 ****lab
2015-01-14 16:44:52 ****labroator
2015-01-14 12:53:44 ****ron
2015-01-14 12:53:46 ****demo
2015-01-14 12:53:48 ****canon

Syspeace also delivers daily and weekly reports of blocked threats.

Within Syspeace, there is also reporting tools for access reports, a Global Blacklist for infamous offenders and
much more.

Installing and setting ups Syspeace

Setting up Syspeace is very easy and only takes a couple of minutes, without the need for changing your
infrastructure or bying very expensive dedicated hardware. Most likely , you will not even need to hire a
consultant for it.

Syspeace runs as Windows Service and support a variety of Windows Servers such as Terminal Server, Exchange Server, Sharepointm Windows Serevr 2003 to Windows Serevr 2012 R2 and more and it starts detecting brute force attacks immediately after you set it up and press the start button.

Please download a free, fully functional 30 trial from http://www.syspeace.com/free-download/download-plus-
getting-started-with-syspeace/
and see for yourself how a very big problem can be very easily solved.
Should you decide to keep using Syspeace, the licensing cost is equivalent to an antivirus product and the
licensing model is highly flexible, enabling you to decide for yourself ofor how long you wish to run Syspeace.

Syspeace - intrusion prevention for Windows servers
Syspeace website

Virtuella servrar, VPS, hybridmoln eller molntjänster – vad är skillnaderna?

Red Cloud IT

Ibland pågår lite olika debatter kring virtualisering kontra molntjänster eller hybrider.
Den här sidan är tänkt att visa på hur saker och ting egentligen hänger ihop och vad de olika sakerna är.

Historiskt med serverdrift
Historiskt har det varit en IT avdelning, egen eller inhyrd, som haft driftat och övervakat ett antal servrar i en hall. Deras uppgift har varit att se till att servrarna fungerar, applikationer och datat går att nå för användarna och att alla loggar läses igenom och hanteras och säkertspatchar läggs på i tid.
Oavsett vad du läser fortsättningsvis så är det viktigt att komma ihåg att data lagras alltid någonstans rent fysiskt i någon serverhall. Alltid.
Molnet är inget luddigt med data och bitar som flyter omkring i luften bara utan på det ena eller andra sättet hamnar alltid data på någon hårdisk någonstas

Virtualisera servrar

Att virtualisera sina servrar har de senaste åren blivit en stor framgång för många.
Kostnadsbesparingarna på hårdvara och el och den något enklare administrationen är en tilltalande effekt. Möjligeheterna till avancerade klustrade lösningar för ökad redundans och tillgänglighet är också intressanta möjligheter,
Många företag virtualiserar sina servrar och fortsätter administrerar dem som förut, dvs man kollar loggar, hanterar säkerhetsuppdateringar, granska intrångsförsök, antivirus, lägger till program och funktioner vid behov. Det man i princip har vunnit är alltså att man behöver ha mindre hårdvara att hålla reda. En del av de programvaror som finns är väldigt väl testade och kan visserligen kosta ganska mycket i licenser men besparingen på hårdvarusidan kan ändå göra det lönsamt.
Man har alltså också kvar sin vanliga serveradministration och ofta har användarna sina applikationer installerade lokalt på sin PC (vilket ju är den vanligste plattformen).

Virtualisera program

Nästa steg är att titta på att virtualisera applikationerna med olika tekniker dvs istället för att klienterna har programmen installerad så streameas / publiceras de ut till klienterna och alla använder en centralt installerad kopia. Den här tekniken har verkligen mognat de senaste 3-4 åren är äntligen funktionell för att tillhandahålla det som tidigare kallades ASP.
På det här sättet sparar man mycket springande i korrider med CD / DVD skivor för installationer och man kan enkelt uppdatera så att alla har en och samma version av programmen och de är enkelt och snabbt tillgängliga. Antlingen via enkla genvägar eller via t.ex. en webportal. I mångt och mycket är det en återgång till centraliserad IT som kom redan med stordatorerna på 1970-talet

Extern VPS

För att slippa ha hårdvara överhuvudtaget på serversidan finns nuförtiden också möjligheten att hyra s.k. VPS ( Virtual Private Server).
I praktiken är tankesättet det samma som med virtualisering, med den stora skillnaden att de virtuella servrarna ligger i en molntjänst där resurser kan tilldelas dynamiskt och man betalar för den bestyckning man tycker sig behöva.
Beroende på leverantör kan servrarna rent fysikt befinna sig varsomhelst i välden vilket vara lite bekymmersamt för vissa företag.
Man har oftast också fortfarande kvar administrationen av servern med säkerhetspatchar, granska intrångsförsök o.s.v. Det är sällan en leverantör av VPS tar på sig det ansvaret.Man har alltså bara flyttat ut hårdvara ut det egna företaget vilket naturligtvis är ett steg i rätt riktning
Även med VPS kan man bygga lösningar med t.ex. virtualiserade/publicerade applikationer. I sak är det bara en server med ett operativ, även om man inte kan ta på den fysiskt i sin egen serverhall.

Hybrid moln

Hybrider handlar om att man tar delar av sin IT miljö och flyttar ut til någon form av molntjänst. Det kan vara t.ex. CRM eller mail eller något annat men man behåller resten av datat i sin egen serevrhall som man av olika anledningar inte vill ha utanför företaget.
De funktioner som finns i molntjänsten är tillgängliga på samma sätt som de vore installerade lokalt men rent tekniskt ligger de inte lokalt. Vissa applikationer är väldigt svårt att flytta ut på det viset då knytningen till andra program som finns runtomkring är så stark att programmen fungerar dåligt utan allt det kringliggande som behövs.

Privata moln

Ett privat moln betyder i praktiken att man har satt upp ett system för att publicera applikationer från en central punkt till sina användare inom företaget. Ett privat moln kan i sin tur vara byggt på antingen en virtualiserad miljö eller på många enskilda, fysiska servrar.

Publika moln

Ett publikt moln är ett stort, lastbalanserat system som är uppsatt av en leverantör som gör det tillgängligt för flera olika företag (och ofta privatpersoner) att kunna nyttjas gemensamt och på det sättet delas på de resurser som finns. De flesta leverantörer av publika molntjänster, särskilt vad gäller applikationsutbudet , har ett antal färdiga programpaket de erbjuder och det finns ingen möjlighet att t.ex. flytta ut några av sina egna applikationer till dem eller göra förändringar i utbudet
I sånt fall är man hänvisad till att antingen bygga ett eget moln eller hyra in sig på VPSer och drifta dem själv.

Molntjänster hos Red Cloud IT

Hos Red Cloud IT finns möjligheterna att flytta med sig applikationerna och få dem som om de vore i ett privat moln men med förelarna av ett publikt moln, dvs det handlar om delade resurser och smart byggda lösningar för att vara så kostnadseffektivt som möjligt.
Red Cloud IT tar hand om uppdateringar, antivirus, backuper, generationshanteringar, intrångsövervakning och drift av era system och ger er en möjlighet att fokusera på det som är er kärnverksamhet.

Kring säkerhetsfrågorna har t.ex. Juha Jurvanen tagit initiavet till Syspeace för att förenkla vår övervakning av obehöriga intrångsförsök. En programvara sprungen ur ett reellt behov i verkligheten.

Vi har progrmvara för att ge kunden möjlighet att kryptera sitt data så ingen mer än kunden ensam kan läsa det
Vi har inbyggd generationshantering så kunden kan själv återställa filer från 2 timmar tillbaka, 4 timmar tillbaka o.s.v.
Utöver det har vi backuper för total återställning av hela servermiljön med färdiga disaster recovery planer och dessa finns även på en sekundär plats i händelse av en stor olycka i nån serverhall.
Vi erbjuder er också antivirus till era klienter, lika smart som allt annat vi byggt och framförallt vi erbjuder er möjligheten att göra era applikationer tillgängliga för fler plattformar än vad är skriva för som t.ex. MAC, Android, iPad, Linux o.s.v.
Vi har färdiga rutiner klara för de kunder som väljer att avsluta sina avtal så att data enkelt kan exporteras till kunden vid behov
Vi har inga bindingstider. Betala för de applikationer ni använder och det antal anvädare ni behöver: Lägg till och dra ifrån vid behov.
Inget trassel med över eller underlicensiering
Vår uppfattning om molntjänster är klar. Vi tycker man ska kunna komma åt sina program och sitt data, när som helst, oavsett var man är och från vilken plattform man vill.
Till en fast månadskostnad,
Vi har haft den uppfattingen sen vi lanserade vår molntjänst, rCloud Office , i slutet av 2009.

Välkommen att kontakta oss för frågor och hjälp att flytta ut i molnet!

Upopmaning kring MS12-020 och Windows Update

Vi vill uppmana alla att köra en Windows Update och lägga på alla senaste Windows uppdateringar på sin maskin och även kontrollera era antivirusprogram. Det finns en mask (typ virus) som är ute och härjar just nu kring ett säkerhets hål Microsoft rapporterade förra veckan (MS12-020)och den har redan börja hälsa på. I vår molntjänst rCloud  på Red Cloud är vi skyddade men systemen larmade idag för en första påhälsning från en användare som hade haft ett demo konto hos oss som försökte logga in. Han visste inte om att han var drabbad utan allt skedde i bakgrunden. Vi hittade honom via loggar med lite detektivarbete och ringde och påtalade det för honom som ren service.

 

 

Red Cloud IT Logo
Red Cloud IT Logo

Adobe Lightroom, FileMaker PRO som molntjänster hos Red Cloud IT

Ytterligare styrkor vi gärna vill peka på med våra molntjänster och varför molntjänster kommer att öka

En av våra kunder ville ha en centralt tillgänglig Adobe Lightroom och FileMaker Pro. Även i det här scenariot skulle programvarorna kunna nås från flera olika platser och med olika klientoperativ.

Efter att vi installerat dessa i vårt moln är programvarorna nu tillgängliga för kunden och deras samarbetspartners. Kunden själv använder Windows 7 på jobbet, MAC hemma och deras samarbetpartners använder MAC.

De har alltså tillgång till samma filer, samma dokument och exakt samma programvara. Oavsett vilket operativsystem de kommer från. Det är inga webanpassade versioner av dem med som så ofta strippad funktionalitet utan de kör hela Windows-programmen. Utan att ha något installerat lokalt på sina arbetstationer.