Fail2ban делает винду?

27

Кто-нибудь может порекомендовать инструмент, похожий на fail2ban для ОС Windows? У меня есть пара серверов Windows Media, которые сталкиваются с попытками перебора. Я хотел бы подключить эти ошибки аутентификации в какой-то инструмент блокировки.

windows security Nurikabe
источник
Не могли бы вы дать некоторые разъяснения? Что вы пытаетесь достичь? Какая версия винды? Вы пытаетесь заблокировать неправильный вход в систему на ПК, в общих сетевых ресурсах, на серверах терминалов, на страницах IIS и т. Д.?
Скаут
Уточнил мой вопрос.
Нурикабе

Ответы:

30

Я не знаю ни одного инструмента, который сделает это «из коробки». Я написал сценарий, чтобы сделать что-то подобное с неудачными входами OpenSSH в Windows, но я не могу поделиться им с вами, потому что он «принадлежит» Заказчику, для которого я его написал.

Сказав это, это была простая программа VBScript, в которой был приемник журнала событий для отслеживания новых неудачных входов в систему и, если этого достаточно, во временном окне добавили IP-маршрут (используя команду «route») для маршрутизации трафика на нарушителя. IP-адрес для «MS Loopback Adapter» в системе.

Для других типов журналов было бы довольно просто написать. Поскольку у меня не было IPtables в Windows, петлевой адаптер казался следующей лучшей вещью. (Вы не можете сделать «маску маршрута xxxx 255.255.255.255 127.0.0.1» в Windows - вам нужен адаптер для маршрутизации трафика, потому что петля 127.0.0.1 не является «реальным» интерфейсом в Windows.)

(Если вы хотите, чтобы что-то подобное было написано, свяжитесь со мной вне группы, и мы сможем обсудить особенности такой договоренности.)

Редактировать:

Я решил написать что-то для этого и выпустил под свободной лицензией.

Эван Андерсон
источник
3

Проверьте этот проект - ts_block

Я использую его и до сих пор он потрясающий (Windows Server 2008 R2 RDS, система находится за брандмауэром, но я не чувствовал необходимости использовать шлюз ssl vpn для сервера)

Крис Долиз
источник
0

Это не похоже на то, что fail2ban работает на Windows вообще, так как требует iptables, который доступен только в Linux.

Тем не менее, я бы посоветовал вам заблокировать все и занести в белый список только те IP-адреса / имена, которые вы хотите подключить к рассматриваемому серверу (ам), если это вообще возможно.

Дэвид Гарднер
источник
0

Другой вариант, который я нашел, это QaaSWall , я еще не тестировал его, но буду на следующий день или около того.

Мэтт Медведь
источник
На самом деле не работает на x64, @Evan Я использую ваш сценарий
Мэтт Медведь
0

Я нашел инструмент под названием RdpGuard ( https://rdpguard.com ), который стоит от 79 долларов и выглядит так, как будто он может работать. Я еще не проверял это, но мог бы попробовать его SMTP решение.

Чжун чжан
источник
1
Вероятно, было бы неплохо использовать продукт, прежде чем давать рекомендации.
Кори Кнутсон
Хостинг-компания, которую я начал использовать, включает в себя копию своих виртуальных машин Windows. Это делает свое дело, и через несколько недель появляются сотни записей брандмауэра.
atmarx
0

Вы можете проверить Win2ban, который является реализацией Fail2ban для систем Windows. Это пакет Fail2ban, Python, Cygwin, Winlogbeat и многих других связанных инструментов, которые делают его законченным и готовым к использованию решением для защиты от перебора. Полнофункциональная бесплатная версия доступна для некоммерческого использования.

NB! Мы разработчик решения.

itefix
источник