Fail2ban faz o Windows?

27

Alguém pode recomendar uma ferramenta semelhante ao fail2ban para um sistema operacional Windows? Eu tenho alguns servidores Windows Media que são atacados por tentativas de autenticação de força bruta. Gostaria de conectar essas falhas de autenticação a algum tipo de ferramenta de bloqueio.

windows security nurikabe
fonte
Você poderia fornecer algum esclarecimento? O que você está tentando realizar? Qual versão do Windows? Você está tentando bloquear logins incorretos em PCs, compartilhamentos de rede, servidores de terminal, páginas hospedadas no IIS, etc.?
Skawt
Esclareceu minha pergunta.
Nurikabe 18/06/09

Respostas:

30

Não conheço nenhuma ferramenta que faça isso "fora da caixa". Eu escrevi um script para fazer algo assim com logons do OpenSSH com falha no Windows, mas não posso compartilhá-lo com você porque "pertence" ao Cliente para quem o escrevi.

Dito isto, era um programa VBScript simples que tinha um coletor de log de eventos para observar novos logons com falha e, se o suficiente acontecesse em uma janela de tempo, adicione uma rota IP (usando o comando "route") para direcionar o tráfego para o ofensor Endereço IP para um "MS Loopback Adapter" no sistema.

Para outros tipos de logs, seria uma questão bastante trivial escrever. Como eu não tinha tabelas de IP no Windows, o adaptador de loopback parecia a próxima melhor coisa. (Você não pode fazer uma "rota xxxx mask 255.255.255.255 127.0.0.1" no Windows - você precisa de um adaptador para rotear o tráfego, porque o loopback 127.0.0.1 não é uma interface "real" no Windows).)

(Se você quiser algo como esse escrito, entre em contato comigo fora da banda e poderemos discutir as especificidades de tal acordo.)

Editar:

Decidi escrever algo para fazer isso e o liberei sob uma licença Free.

Evan Anderson
fonte
3

Confira este projeto - ts_block

Estou usando-o e até agora é fantástico (Windows Server 2008 R2 RDS, o sistema está atrás de um firewall, mas não estava com vontade de usar um gateway ssl vpn para o servidor)

Chris Dolese
fonte
0

Não parece que o fail2ban seja executado no Windows, pois requer o iptables, disponível apenas no Linux.

No entanto, sugiro que você bloqueie tudo e coloque na lista branca apenas os IPs / nomes que você deseja que possam se conectar ao (s) servidor (es) em questão, se possível.

David Gardner
fonte
0

Outra opção que encontrei é o QaaSWall , ainda não testei, mas estarei no dia seguinte.

Matt Bear
fonte
Não funciona em x64, na verdade, @Evan Estou usando o seu script
Matt Urso
0

Encontrei uma ferramenta chamada RdpGuard ( https://rdpguard.com ) que começa em US $ 79 e parece que pode funcionar. Ainda não testei, mas posso tentar a minha solução SMTP.

Zhong Zhang
fonte
11
Provavelmente, seria uma boa ideia ter usado o produto antes de fazer a recomendação.
Cory Knutson
Uma empresa de hospedagem de VM que comecei a usar inclui uma cópia em suas VMs do Windows. Ele funciona, e existem centenas de entradas de firewall após algumas semanas.
atmarx 8/01
0

Você pode verificar o Win2ban, que é uma implementação do Fail2ban para sistemas Windows. É um pacote de Fail2ban, Python, Cygwin, Winlogbeat e muitas outras ferramentas relacionadas para torná-lo uma solução completa e pronta para uso para proteção contra ataques de força bruta. Uma edição gratuita funcional completa está disponível para uso não comercial.

NB! Nós somos o desenvolvedor da solução.

itefix
fonte