DFS名前空間のためにWebDAVが自動的にリモート接続を試みますか?
私は最近、WAFを購入してインストールしました(多くの物乞いの後)。
ActiveDirectoryドメイン名\\mycompany.com\に基づくmycompany.comというDFS名前空間があります。私のウェブサイトのドメインはmycompany.comです
ユーザーはDFS名前空間にマップされます\\mycompany.com\ourfiles\etc\
現在、私のWAFは、HTTPを介してmycompany.com\ourfiles\etc\を指すMicrosoft-WebDAV-MiniRedir/6.1.7601(覚えている場合はWindows 7 WebDAV)を指す周囲の地理的領域から発信されたIPからの一般的な攻撃開示を報告しています。私はそこにラップトップを家に持ち帰ったユーザーから推測します。
表示されるフォルダパスが非常に具体的である場合もありますが、誰かのショートカットとしては珍しいことではありません。
私の質問は、これにどのように取り組むべきかということです。 WAFが奇妙なことについて報告することを私は知っています。ネットワークの外部にネットワークドライブを手動でマッピングすることで、このレポートを簡単に複製できます。 \\mycompany.com\files\etc\
外部WANからドメインに参加しているシステムを使用して、手動マッピングなしでこの問題を再現しようとすると、できません。また、WebDavまたはWindows認証がWebサーバーにインストールされていません。
編集:明確にするために、ここにセキュリティ上の懸念がありますか?それとも完全に良性ですか?
Win 7+は、WebDAVサービスがリモートシステム上のどこかにあると考えて、リンクが適切にフォーマットされている場合、自動的にWebDAVサービスへの接続を試みると思います。 (つまり、マップされたドライブの下で\\ example.com\folder \のようなことを行うと、MSはWebDAVを使用してそのドメイン内の外部サービスを探すようになります)
方法1
外部ユーザー向けのWebDAVサービスがない場合は、すべてのWebDAVトラフィックを除外するだけです。ログに記録して、通知のしきい値を下げる/無効にすることができます。
方法2-非推奨
Windowsには、ラップトップでWebDAVを無効にする方法があると思います。これは常に何か他のものを壊すかもしれませんが、あなたの会社がサービスを使用していないかどうかを調べる価値があります。 (これにより、会社に関係するかどうかに関係なく、頻繁に使用するものが壊れた場合、ユーザーから苦情が寄せられます)
セキュリティ上の懸念
会社がWebDAVに何も依存せず、WebDAVトラフィックのすべてのインバウンド通信をブロックする場合、影響は最小限に抑えられます。 WebDAVトリガーについては、最初の分析に基づいて、OMG WE'RE DOOOOOMEDという、実際に差し迫ったものは何もありません(誤検知であると想定するのは正しいと思います)。この時点で、攻撃がディレクトリ構造について積極的な知識を持っていない限り、ランダムなWebDAV要求を試行することは、誤検知の中でも非常に明白です。
つまり、大量の誤検知に慣れている場合は、事前の警告がわずかに妨げられます。