<div dir="ltr">Does RDP re-establish a session with each login attempt?  Because if not, this may not be a valid attempt to find failed passwords.  I'd test it but I don't have a system to test on right now, however it may be important to think about how the protocol behaves on login attempts.<div><br></div><div><br></div><div>- John Wiltberger</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 9, 2015 at 12:33 PM, Barry Bahrami <span dir="ltr"><<a href="mailto:Barry@...4001..." target="_blank">Barry@...4001...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">We have a firewall rule setup to block six connections to TCP3389 from the same IP in a 10 second window.  it works pretty well.  <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Barry Bahrami<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Samuel M Westerfeld [mailto:<a href="mailto:sam@...2156..." target="_blank">sam@...2156...</a>] <br><b>Sent:</b> Saturday, February 07, 2015 12:07 AM<br><b>To:</b> <a href="mailto:snort-sigs@lists.sourceforge.net" target="_blank">snort-sigs@lists.sourceforge.net</a><br><b>Subject:</b> Re: [Snort-sigs] Creating a rule for RDP<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><p>No need to reinvent the wheel. This can (and should) be done through Group Policy or Local Security Policy in Windows.<u></u><u></u></p><div><p class="MsoNormal">On Feb 7, 2015 1:36 AM, "Dave Killion" <<a href="mailto:dave.killion@...2420..." target="_blank">dave.killion@...2420...</a>> wrote:<u></u><u></u></p><p class="MsoNormal">While that's true - RDP is encrypted - a poor man's brute-force detection is to detect n-connections in y seconds between IP peers.  Say... 5 connections in 10 seconds?<br><br>A real user wouldn't go that fast unless they were rapidly trying credentials, and a script would go much faster.   You may need to tune the interval, however, to something that makes sense in your network.<br><br>Yes, this has problems with NAT, and yes, it has problems with slow brute, but... It's better than nothing, and I know with certainty that many commercial IDS' do exactly this.<br><br>Dave Killion<br><br><br>> On Feb 6, 2015, at 4:57 PM, Jason Haar <<a href="mailto:Jason_Haar@...3686..." target="_blank">Jason_Haar@...4002...86...</a>> wrote:<br>><br>>> On 23/01/15 12:06, Richard Giles wrote:<br>>> Hello,<br>>><br>>> I am trying to write a simple snort rule that will block RDP traffic if the password is failed more then 3-5 times. I have been experimenting using something like the following:<br>>><br>> As far as I'm aware RDP is a fully encrypted channel, so any failed login messages are sent by the server to the client over that encrypted channel. In other words, it's just like SSH<br>><br>> ie snort can't read it.<br>><br>> The only way I can think of to detect RDP failed logins is to monitor the eventlogs of Windows servers for failed login events :-(<br>> --<br>> Cheers<br>><br>> Jason Haar<br>> Corporate Information Security Manager, Trimble Navigation Ltd.<br>> Phone: <a href="tel:%2B1%20408%20481%208171" target="_blank">+1 408 481 8171</a><br>> PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1<br>> ------------------------------------------------------------------------------<br>> Dive into the World of Parallel Programming. The Go Parallel Website,<br>> sponsored by Intel and developed in partnership with Slashdot Media, is your<br>> hub for all things parallel software development, from weekly thought<br>> leadership blogs to news, videos, case studies, tutorials and more. Take a<br>> look and join the conversation now. <a href="http://goparallel.sourceforge.net/" target="_blank">http://goparallel.sourceforge.net/</a><br>> _______________________________________________<br>> Snort-sigs mailing list<br>> <a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>> <a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>><br>><br>> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br><br>------------------------------------------------------------------------------<br>Dive into the World of Parallel Programming. The Go Parallel Website,<br>sponsored by Intel and developed in partnership with Slashdot Media, is your<br>hub for all things parallel software development, from weekly thought<br>leadership blogs to news, videos, case studies, tutorials and more. Take a<br>look and join the conversation now. <a href="http://goparallel.sourceforge.net/" target="_blank">http://goparallel.sourceforge.net/</a><br>_______________________________________________<br>Snort-sigs mailing list<br><a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@...3094...rceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br><a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br><br><br>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<u></u><u></u></p></div></div></div></div></div><br>------------------------------------------------------------------------------<br>
Dive into the World of Parallel Programming. The Go Parallel Website,<br>
sponsored by Intel and developed in partnership with Slashdot Media, is your<br>
hub for all things parallel software development, from weekly thought<br>
leadership blogs to news, videos, case studies, tutorials and more. Take a<br>
look and join the conversation now. <a href="http://goparallel.sourceforge.net/" target="_blank">http://goparallel.sourceforge.net/</a><br>_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>