автоматически блокировать IP-адрес после многих неудачных попыток входа

11

Я получаю много неудачных попыток входа в систему (1 в секунду) на сервере Windows 2008. Я уже установил локальную политику безопасности для автоматической блокировки учетной записи после слишком большого числа попыток входа в систему, но есть ли способ автоматически включить IP-адрес в брандмауэр Windows, чтобы он был временно заблокирован (скажем, на 30 минут)?

windows firewall Алли
источник
1
Вы подходите к этой проблеме с неправильной точки зрения. Если вы часто получаете неудачные попытки входа в систему, вам нужно найти источник (доступный в журнале безопасности) и исправить его. Временная блокировка IP-адреса, поскольку он приводит к переполнению вашего сервера попытками входа в систему, лишь временно замаскирует проблему.
Крис МакКаун
@ChrisMcKeown Я не понимаю, что вы подразумеваете под «источником» в своем комментарии. Вы имеете в виду сервис, который открыт на сервере или что-то еще? Я считаю этот вопрос вполне обоснованным, и на машинах Unix я также постоянно блокирую повторяющихся преступников.
mikebabcock
Неудачная попытка входа в систему должна происходить откуда-то, будь то пользователь, служба или исполняемый файл, работающий от имени конкретного пользователя. Источник (т. Е. Удаленный компьютер, который пытается войти в систему) будет записан в журнале безопасности. Неудачные попытки со скоростью 1 в секунду, вероятно, требуют дальнейшего расследования, а не просто блокируют источник на некоторое время (чего это добивается?)
Крис Мак-Каун,
1
Чтобы ответить выше, мой журнал событий показывает много разных IP-адресов со всего мира. Я начал добавлять некоторые из них вручную в черный список на брандмауэре, но автоматический способ приветствуется. Я не хочу исключать диапазоны, чтобы исключить допустимые IP-адреса. Единственная причина разблокировать через некоторое время, потому что я мог бы исключить шлюзы, которые снова могут иметь других действительных пользователей. Я только хочу предотвратить любую попытку взлома.
Элли

Ответы:

2

Мы недавно были наводнены подобными попытками и имели большой успех с fail2ban, который делает именно это: блокирует исходный IP после N неудачных попыток входа в систему.

Несмотря на то, что он разработан для Linux, Эван Андерсон (Evan Anderson) отлично ответил на вопрос ServerFault. Отвечает ли fail2ban Windows? может помочь вам реализовать это.

msanford
источник
0

Если это «внутренняя» проблема, я бы посоветовал вам последовать приведенному выше совету и найти пользователя / устройство / службу, которая, по сути, пытается грубо заставить ее решить проблему. Если это удаленный вход в систему извне, то существует ряд различных программ / сценариев, которые будут «блокировать» IP на несколько часов или дней, поэтому они не смогут завершить свою атаку. Один из этих сценариев написан членом здесь.

Как остановить атаки методом перебора на сервере терминалов (Win2008R2)?

user72593
источник
Проблема носит глобальный характер, так как я получаю сбой событий входа со всего мира. Вы предоставляете мне решение, которое может работать на меня. Я лучше посмотрю на это.
Элли
0

Как эти внешние попытки входа в систему могут достичь вашего сервера в первую очередь? На сервере запущен сайт с включенной аутентификацией или что-то в этом роде? Какие службы вы используете, которые должны быть выставлены на внешний сервер с этого сервера? Если это удаленный рабочий стол, то лично я бы подумал об использовании VPN вместо этого.

Крис МакКаун
источник
У вас есть хорошая точка зрения. Это сервер, который является общедоступным веб-сервером, без какой-либо проверки подлинности, но с возможностью удаленного управления рабочим столом. Я думаю, что вы правы, что удаленный рабочий стол должен быть доступен только через VPN, и это положило бы конец моей проблеме .. (теперь мне нужно найти способ КАК это сделать :))
Allie