RDP Error interno

Desde hace unos días unos clientes que acceden por RDP nos indicaron que aparecía un error al intentar acceder por escritorio remoto, solo podían acceder aleatoriamente.

Tras buscar típicas soluciones y errores miramos el visor de eventos donde encontramos muchos errores de conexión en el visor de eventos.

Aparentemente un intento de fuerza bruta al RDP

Para ver que sucedía montamos un servidor SIEM «AlientVault» para examinar las conexiones del Firewall.

Configuración del firewall Sonicwall TZ400 para envio de SNMP a AlientVault

IP del server AlientVault

Creamos un Adress object con el server de AlientVault (la IP)

Configuración básica de envío de logs con puerto por defecto al alientvault

En AlientVault si filtramos por el puerto de acceso al rdp vemos las conexiones que «escupen» los logs del firewall

como se ve en la imagen tenia dos IPs de rusia que intentan conectarse continuamente.

Bloqueo de las direcciones:

En SonicWall creamos objects con las ips a bloquear

las metemos en una Address group

Creamos un Access Rules donde marcaremos esas ips como DENY

Si volvemos a la maquina con problemas y eliminamos los registros de seguridad y refrescamos veremos que desaparecen los intentos de acceso fallido y el error de error interno.

Saludos.