Início > Active Directory, Fore Front TMG 2010, OWA, Proxy Reverso, Segurança > Investigando bloqueio de contas de usuário a partir do Forefront TMG

Investigando bloqueio de contas de usuário a partir do Forefront TMG

Saudações,

Na semana passada fui chamado a atuar em um dos nossos clientes onde buscavam entender o porque dos constantes bloqueios de conta de um determinado usuário.

Os scripts que os administradores do AD usaram mostravam que a origem dos bloqueios vinha de uma infra de servidores Forefront TMG.

O fluxo do ambiente corre conforme abaixo:

image

Esta infra foi implementada por mim no fim de 2012. Conforme desenho acima, os acessos ao OWA (Outlook Web Access) são publicados em uma infra de 2 servidores Forefront TMG em NLB para os acessos externos.

Os acessos ao webmail vindos da rede interna vão direto para os servidores Exchange.

Durante o período de análise do problema verifiquei que algumas contas estava bloqueando, mas, logo foi identificado que, realmente se tratava de tentativas de logon com senha errada e foram descartadas.

Apenas um usuário sofria com constantes bloqueios em sua conta e, com base no user name específico focamos nele as análises.

A primeira verificação foi determinar se a feature Local Account Lockout do TMG estava habilitada. Após alguns comandos em Power Shell recebi o retorno abaixo:

imagem3

De acordo com a imagem acima a feature encontrava-se desabilitada. Mesmo sabendo que os bloqueios estavam vindo diretamente de servidores AD, fiz questão de verificar isso pois, a configuração desse feature pode influenciar no acesso ao domínio como um todo.

Para saber como configurar e verificar o status da feature você pode ler o artigo que escrevi para o TechNet Wiki sobre como Configurar o Local Account Lockout no Forefront TMG usando Power Shell.

O próximo passo foi verificar o tráfego que o usuário gerava para verificar o que ocorria. Após algumas queries no Live Logging recebi as informações abaixo:

Failed Connection Attempt TMGServer 8/14/2013 12:20:23 PM

Log type: Web Proxy (Reverse)

Status: 1909 The referenced account is currently locked out and may not be logged on to.

Rule: Publish EAS 2010

Source: 189.106.176.29:40794

Destination: xx.xxx.xx.xx:443

Request: OPTIONS http://webmail.dominio.com.br/Microsoft-Server-ActiveSync?Cmd=OPTIONS&User=domain%5Cuserid&DeviceId=androidc95837483&DeviceType=Android

Filter information: Req ID: 155b8170; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes

Protocol: https

Essas tentativas de acesso ocorriam noite a dentro e madrugada.

Como o TMG não faz cache de usuário e senha e tampouco armazena essas informações, precisamos conversar diretamente com o usuário para tentar mapear o comportamento.

Na log exibida acima é possivel determinar o device ID e o modelo do celular usado (DeviceId=androidc95837483&DeviceType=Android) e após verificação pelo pessoal responsável pela administração dos aparelho corporativos, não existe nenhum aparelho com esses dados na companhia.

Segundo ponto importante, o IP de origem da conexão (189.106.176.29), quando verificado, me mostrou a seguinte origem:

image

O domínio veloxzone.com.br pertence a uma empresa que fornece acesso WIFI público em shoppings, tendo como parceiros provedores como o UOL por exemplo. Ou seja, o acesso estava vindo de fora do cliente através de uma WIFI pública. O usuário usou essa rede para acesso por uma vez.

Terceiro ponto – As tentativas de acesso feitas noite a dentro e madrugada, vinham de uma conexão 3G da empresa VIVO.

Detalhe: O uso do aparelho pelo usuário se limitava a ligações telefônicas e acessos ao webmail durante horário comercial.

Quarto e decisivo ponto – Fizemos um teste de conexão usando o aparelho do usuário (um Samsung Galaxy S3) e os dados do DeviceID e modelo coletados pelo log do TMG eram completamente diferentes dos exibidos aqui.

Conclusão:

1. Com base em todas as informações acima citadas e o fato de os bloqueios continuarem ocorrendo mesmo com o aparelho desligado, nos deram a certeza de que, durante o acesso do usuário na WIFI pública, seus dados foram hackeados e usados por terceiros.

2. Os servidores do TMG apareciam como os pontos de bloqueio da conta porque são o primeiro ponto em que a conexão chega antes de ser encaminhada aos servidores do Outlook Web Access. A identificação do DeviceID e origem da conexão, além da própria interação com o usuário foram importantes para entender o caso.

3. Fizemos uma regra bloqueando o acesso vindo o IP da rede VeloxZone para evitar novos bloqueios, visto que os acessos via 3G não mais ocorreram. Além disso, os responsáveis pelo Exchange bloquearam o acesso do usuáro via Active Sync em caráter temporário.

Espero que o case apresentado possa ser útil!

Abraços

Uilson

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: