Delen via

Wat is een wachtwoordaanval?

Een vereiste voor federatieve eenmalige aanmelding is de beschikbaarheid van eindpunten voor verificatie via internet. Dankzij de beschikbaarheid van verificatie-eindpunten op internet kunnen gebruikers toegang krijgen tot de toepassingen, zelfs wanneer ze zich niet in een bedrijfsnetwerk bevinden.

Dit betekent ook dat sommige slechte actoren kunnen profiteren van de federatieve eindpunten die beschikbaar zijn op internet om deze eindpunten te gebruiken om wachtwoorden te bepalen of denial of service-aanvallen te maken. Een dergelijke aanval die steeds vaker voorkomt, wordt een wachtwoordaanvalgenoemd.

Er zijn twee soorten veelvoorkomende wachtwoordaanvallen. Wachtwoordspray-aanval & brute force-wachtwoordaanval.

Wachtwoordspray-aanval

Bij een wachtwoordspray-aanval proberen deze slechte actoren de meest voorkomende wachtwoorden voor veel verschillende accounts en services om toegang te krijgen tot alle met een wachtwoord beveiligde assets die ze kunnen vinden. Meestal omvatten deze veel verschillende organisaties en id-providers. Een aanvaller gebruikt bijvoorbeeld een algemeen beschikbare toolkit om alle gebruikers in verschillende organisaties op te sommen en vervolgens 'P@$$w 0rD' en 'Password1' te proberen voor al deze accounts. Om u het idee te geven, kan een aanval er als volgt uitzien:

Doelgebruiker Doelwachtwoord
User1@org1.com Wachtwoord1
User2@org1.com Wachtwoord1
User1@org2.com Wachtwoord1
User2@org2.com Wachtwoord1
User1@org1.com P@$$w0rD
User2@org1.com P@$$w0rD
User1@org2.com P@$$w0rD
User2@org2.com P@$$w0rD

Dit aanvalspatroon ontwijkt de meeste detectietechnieken omdat de aanval vanaf het uitkijkpunt van een afzonderlijke gebruiker of bedrijf lijkt op een geïsoleerde mislukte aanmelding.

Voor aanvallers is het een getallenspel: ze weten dat er enkele wachtwoorden zijn die het meest voorkomen. De aanvaller krijgt enkele successen voor elke duizend accounts die zijn aangevallen en dat is voldoende om effectief te zijn. Ze gebruiken de accounts om gegevens op te halen uit e-mailberichten, contactgegevens te verzamelen en phishingkoppelingen te verzenden of de doelgroep voor wachtwoordspray uit te breiden. De aanvallers maken niet veel uit van wie die eerste doelen zijn, alleen dat ze succes hebben dat ze kunnen benutten.

Maar door een paar stappen te nemen om de AD FS en het netwerk correct te configureren, kunnen AD FS-eindpunten worden beveiligd tegen dit type aanvallen. In dit artikel worden drie gebieden behandeld die correct moeten worden geconfigureerd om te helpen beveiligen tegen deze aanvallen.

Brute force-aanval op wachtwoord

In deze vorm van aanvallen probeert een aanvaller meerdere wachtwoordpogingen uit te voeren op een doelset accounts. In veel gevallen zijn deze accounts gericht op gebruikers met een hoger toegangsniveau binnen de organisatie. Dit kunnen leidinggevenden zijn binnen de organisatie of beheerders die kritieke infrastructuur beheren.

Dit type aanval kan ook leiden tot DOS-patronen. Dit kan zich op serviceniveau bevinden waarbij AD FS een groot aantal aanvragen niet kan verwerken vanwege onvoldoende aantal servers. Dit kan zich voordoen op het gebruikersniveau waarbij een gebruiker is uitgesloten van hun account.

AD FS beveiligen tegen wachtwoordaanvallen

Maar door een paar stappen te nemen om de AD FS en het netwerk correct te configureren, kunnen AD FS-eindpunten worden beveiligd tegen deze typen aanvallen. In dit artikel worden drie gebieden behandeld die correct moeten worden geconfigureerd om te helpen beveiligen tegen deze aanvallen.

  • Niveau 1, basislijn: Dit zijn de basisinstellingen die moeten worden geconfigureerd op een AD FS-server om ervoor te zorgen dat kwaadwillenden geen brute-force-aanval kunnen uitvoeren op federatieve gebruikers.
  • Niveau 2, Het extranet beveiligen: dit zijn de instellingen die moeten worden geconfigureerd om ervoor te zorgen dat de extranettoegang is geconfigureerd voor het gebruik van beveiligde protocollen, verificatiebeleid en de juiste toepassingen.
  • Niveau 3: Overstappen op wachtwoordloze toegang voor extranettoegang: dit zijn geavanceerde instellingen en richtlijnen voor toegang tot federatieve resources met veiligere referenties in plaats van wachtwoorden die gevoelig zijn voor aanvallen.

Niveau 1: Basislijn

  1. Implementeer in AD FS 2016 extranet slimme vergrendeling Extranet slimme vergrendeling bekende locaties bijhoudt en een geldige gebruiker kan binnenkomen als ze zich eerder vanaf die locatie hebben aangemeld. Door slimme vergrendeling van het extranet te gebruiken, kunt u ervoor zorgen dat slechte actoren de gebruikers niet kunnen aanvallen en tegelijkertijd legitieme gebruikers productief kunnen maken.

    Als u niet op AD FS 2016 zit, raden we u ten zeerste aan om upgrade naar AD FS 2016. Het is een eenvoudig upgradepad van AD FS 2012 R2. Als u AD FS 2012 R2 gebruikt, implementeert u extranetvergrendeling. Een nadeel van deze aanpak is dat geldige gebruikers mogelijk worden geblokkeerd voor extranettoegang als u zich in een brute-forcepatroon bevindt. AD FS op Server 2016 heeft dit nadeel niet.

  2. & Bewaken: verdachte IP-adressen blokkeren

    Als u Microsoft Entra ID P1 of P2 hebt, implementeert u Connect Health voor AD FS en gebruikt u het Riskante IP-rapport meldingen die het biedt.

    a. Licentieverlening is niet voor alle gebruikers en vereist 25 licenties per AD FS/WAP-server die mogelijk eenvoudig zijn voor een klant.

    b. U kunt nu IP-adressen onderzoeken die een groot aantal mislukte aanmeldingen genereren.

    Hoofdstuk c. Hiervoor moet u controle inschakelen op uw AD FS-servers.

  3. Blokkeer verdachte IP's. Hierdoor worden DOS-aanvallen mogelijk geblokkeerd.

    a. Als u in 2016 de verboden IP-adressen van het extranet functie gebruikt om aanvragen van IP-adressen te blokkeren die zijn gemarkeerd door #3 (of handmatige analyse).

    b. Als u AD FS 2012 R2 of lager gebruikt, blokkeert u het IP-adres rechtstreeks bij Exchange Online en optioneel op uw firewall.

  4. Als u Microsoft Entra ID P1 of P2 hebt, gebruikt u Microsoft Entra-wachtwoordbeveiliging om te voorkomen dat denkbare wachtwoorden toegang krijgen tot Microsoft Entra-id.

    a. Als u radenbare wachtwoorden hebt, kunt u ze kraken met slechts 1-3 pogingen. Deze functie voorkomt dat deze worden ingesteld.

    b. Volgens onze preview-statistieken wordt bijna 20-50% van de nieuwe wachtwoorden geblokkeerd om te voorkomen dat ze worden ingesteld. Dit impliceert dat % gebruikers kwetsbaar zijn voor eenvoudig te raden wachtwoorden.

Niveau 2: Uw extranet beveiligen

  1. Overstappen op moderne verificatie voor clients die toegang hebben tot het extranet. E-mailclients maken hier een groot deel van uit.

    a. U moet Outlook Mobile gebruiken voor mobiele apparaten. De nieuwe systeemeigen iOS-e-mail-app ondersteunt ook moderne verificatie.

    b. U moet Outlook 2013 (met de nieuwste CU-patches) of Outlook 2016 gebruiken.

  2. Schakel MFA in voor alle extranettoegang. Dit biedt u extra beveiliging voor toegang tot extranets.

    a. Als u Microsoft Entra ID P1 of P2 hebt, gebruikt u beleid voor voorwaardelijke toegang van Microsoft Entra om dit te beheren. Dit is beter dan het implementeren van de regels bij AD FS. Dit komt doordat moderne client-apps vaker worden afgedwongen. Dit gebeurt bij Microsoft Entra ID bij het aanvragen van een nieuw toegangstoken (meestal elk uur) met behulp van een vernieuwingstoken.

    b. Als u geen Microsoft Entra ID P1 of P2 hebt of aanvullende apps op AD FS hebt die u internettoegang toestaat, implementeert u Meervoudige Verificatie van Microsoft Entra en configureert u een globaal multifactor-verificatiebeleid voor alle extranettoegang.

Niveau 3: Overstappen op wachtwoordloos voor extranettoegang

  1. Ga naar Windows 10 en gebruik Hello for Business-.

  2. Voor andere apparaten, als u AD FS 2016 gebruikt, kunt u Microsoft Entra multi-factor authenticatie OTP als de eerste factor en het wachtwoord als de tweede factor gebruiken.

  3. Als u voor mobiele apparaten alleen beheerde MDM-apparaten toestaat, kunt u Certificaten gebruiken om de gebruiker aan te melden.

Urgente behandeling

Als de AD FS-omgeving wordt aangevallen, moeten de volgende stappen ten vroegste worden geïmplementeerd:

  • Schakel eindpunten voor gebruikersnaam en wachtwoord in AD FS uit en vereisen dat iedereen een VPN gebruikt om toegang te krijgen of zich in uw netwerk bevindt. Hiervoor moet u stap niveau 2 #1a voltooid. Anders worden alle interne Outlook-aanvragen nog steeds via de cloud gerouteerd via EXO-proxyverificatie.
  • Als de aanval alleen via EXO wordt uitgevoerd, kunt u basisverificatie uitschakelen voor Exchange-protocollen (POP, IMAP, SMTP, EWS, enzovoort) met behulp van verificatiebeleid, deze protocollen en verificatiemethoden worden gebruikt voor de meerderheid van deze aanvallen. Bovendien worden clienttoegangsregels in Exchange Online en per-mailbox protocollen na authenticatie geëvalueerd en kunnen ze niet helpen bij het verminderen van de impact van de aanvallen.
  • U kunt selectief extranettoegang bieden met niveau 3 #1-3.

Volgende stappen