Czy fail2ban robi Windows?

27

Czy ktoś może polecić narzędzie podobne do fail2ban dla systemu operacyjnego Windows? Mam kilka serwerów Windows Media, które są hamowane przez próby uwierzytelnienia metodą brute force. Chciałbym podłączyć te błędy uwierzytelnienia do pewnego rodzaju narzędzia blokującego.

nurikabe
źródło
Czy możesz podać jakieś wyjaśnienie? Co próbujesz osiągnąć Jaka wersja systemu Windows? Czy próbujesz zablokować złe dane logowania do komputerów, udziałów sieciowych, serwerów terminali, stron hostowanych w usługach IIS itp.?
Skawt
Wyjaśnił moje pytanie.
nurikabe

Odpowiedzi:

30

Nie znam żadnego narzędzia, które wykonałoby to „po wyjęciu z pudełka”. Napisałem skrypt, aby zrobić coś takiego z nieudanym logowaniem OpenSSH w systemie Windows, ale nie mogę go udostępnić, ponieważ „należy” do klienta, dla którego napisałem.

Powiedziawszy to, był to prosty program VBScript, który miał ujście dziennika zdarzeń, aby obserwować nowe nieudane logowania, a jeśli wystarczająco dużo się wydarzyło w oknie czasowym, dodaj trasę IP (za pomocą polecenia „route”), aby skierować ruch do przestępcy Adres IP do „MS Loopback Adapter” w systemie.

W przypadku innych rodzajów dzienników pisanie byłoby dość trywialne. Ponieważ nie miałem IPtables w systemie Windows, adapter sprzężenia zwrotnego wydawał się kolejną najlepszą rzeczą. (Nie można wykonać „trasy xxxx maski 255.255.255.255 127.0.0.1” w systemie Windows - potrzebujesz adaptera do kierowania ruchu, ponieważ sprzężenie zwrotne 127.0.0.1 nie jest „prawdziwym” interfejsem w systemie Windows.)

(Jeśli chcesz coś takiego napisać, skontaktuj się ze mną poza pasmem, abyśmy mogli omówić szczegóły takiego ustalenia).

Edytować:

Postanowiłem napisać, aby to zrobić i wydałem na licencji Free.

Evan Anderson
źródło
3

Sprawdź ten projekt - ts_block

Korzystam z niego i jak dotąd jest świetny (Windows Server 2008 R2 RDS, system znajduje się za zaporą ogniową, ale nie miałem ochoty używać bramy VPN VPN na serwerze)

Chris Disese
źródło
0

W ogóle nie wygląda na to, że fail2ban działa w systemie Windows, ponieważ wymaga iptables, które jest dostępne tylko w systemie Linux.

Sugerowałbym jednak, aby zablokować wszystko i umieścić na białej liście tylko adresy IP / nazwy, które chcesz połączyć z danymi serwerami, jeśli to w ogóle możliwe.

David Gardner
źródło
0

Inną opcją, którą znalazłem, jest QaaSWall , jeszcze jej nie testowałem, ale przyjdę następnego dnia.

Matt Bear
źródło
Właściwie nie działa na x64, @Evan Używam twojego skryptu
Matt Bear
0

Znalazłem narzędzie o nazwie RdpGuard ( https://rdpguard.com ), które zaczyna się od 79 USD i wydaje się, że może działać. Nie przetestowałem go jeszcze, ale może dać mi szansę na rozwiązanie SMTP.

Zhong Zhang
źródło
1
Prawdopodobnie dobrym pomysłem byłoby skorzystanie z produktu przed wydaniem zalecenia.
Cory Knutson
Firma hostingowa maszyn wirtualnych, z której zacząłem korzystać, zawiera kopię swoich maszyn wirtualnych z systemem Windows. To załatwia sprawę, a po kilku tygodniach pojawiają się setki wpisów zapory.
atmarx
0

Możesz sprawdzić Win2ban, który jest implementacją Fail2ban dla systemów Windows. Jest to pakiet Fail2ban, Python, Cygwin, Winlogbeat i wielu innych powiązanych narzędzi, dzięki czemu jest to kompletne i gotowe do użycia rozwiązanie do ochrony przed atakami siłowymi. Pełna funkcjonalna darmowa wersja jest dostępna do użytku niekomercyjnego.

NB! Jesteśmy deweloperem rozwiązania.

itefix
źródło