Czy ktoś może polecić narzędzie podobne do fail2ban dla systemu operacyjnego Windows? Mam kilka serwerów Windows Media, które są hamowane przez próby uwierzytelnienia metodą brute force. Chciałbym podłączyć te błędy uwierzytelnienia do pewnego rodzaju narzędzia blokującego.
27
Odpowiedzi:
Nie znam żadnego narzędzia, które wykonałoby to „po wyjęciu z pudełka”. Napisałem skrypt, aby zrobić coś takiego z nieudanym logowaniem OpenSSH w systemie Windows, ale nie mogę go udostępnić, ponieważ „należy” do klienta, dla którego napisałem.
Powiedziawszy to, był to prosty program VBScript, który miał ujście dziennika zdarzeń, aby obserwować nowe nieudane logowania, a jeśli wystarczająco dużo się wydarzyło w oknie czasowym, dodaj trasę IP (za pomocą polecenia „route”), aby skierować ruch do przestępcy Adres IP do „MS Loopback Adapter” w systemie.
W przypadku innych rodzajów dzienników pisanie byłoby dość trywialne. Ponieważ nie miałem IPtables w systemie Windows, adapter sprzężenia zwrotnego wydawał się kolejną najlepszą rzeczą. (Nie można wykonać „trasy xxxx maski 255.255.255.255 127.0.0.1” w systemie Windows - potrzebujesz adaptera do kierowania ruchu, ponieważ sprzężenie zwrotne 127.0.0.1 nie jest „prawdziwym” interfejsem w systemie Windows.)
(Jeśli chcesz coś takiego napisać, skontaktuj się ze mną poza pasmem, abyśmy mogli omówić szczegóły takiego ustalenia).
Edytować:
Postanowiłem napisać, aby to zrobić i wydałem na licencji Free.
źródło
Sprawdź ten projekt - ts_block
Korzystam z niego i jak dotąd jest świetny (Windows Server 2008 R2 RDS, system znajduje się za zaporą ogniową, ale nie miałem ochoty używać bramy VPN VPN na serwerze)
źródło
wail2ban twierdzi, że jest portem systemu Windows dla fail2ban
źródło
W ogóle nie wygląda na to, że fail2ban działa w systemie Windows, ponieważ wymaga iptables, które jest dostępne tylko w systemie Linux.
Sugerowałbym jednak, aby zablokować wszystko i umieścić na białej liście tylko adresy IP / nazwy, które chcesz połączyć z danymi serwerami, jeśli to w ogóle możliwe.
źródło
Inną opcją, którą znalazłem, jest QaaSWall , jeszcze jej nie testowałem, ale przyjdę następnego dnia.
źródło
Znalazłem narzędzie o nazwie RdpGuard ( https://rdpguard.com ), które zaczyna się od 79 USD i wydaje się, że może działać. Nie przetestowałem go jeszcze, ale może dać mi szansę na rozwiązanie SMTP.
źródło
Możesz sprawdzić Win2ban, który jest implementacją Fail2ban dla systemów Windows. Jest to pakiet Fail2ban, Python, Cygwin, Winlogbeat i wielu innych powiązanych narzędzi, dzięki czemu jest to kompletne i gotowe do użycia rozwiązanie do ochrony przed atakami siłowymi. Pełna funkcjonalna darmowa wersja jest dostępna do użytku niekomercyjnego.
NB! Jesteśmy deweloperem rozwiązania.
źródło