bloqueia automaticamente o endereço IP após muitas tentativas de login com falha

10

Estou recebendo muitas tentativas de logon com falha (1 por segundo) em um servidor Windows 2008, já defini a política de segurança local para bloquear automaticamente uma conta após muitas tentativas de logon, mas existe uma maneira de incluir automaticamente um endereço IP em o firewall do Windows para que seja bloqueado temporariamente (por 30 minutos)?

windows firewall aliado
fonte
1
Você está abordando esse problema da perspectiva errada. Se você estiver com falhas nas tentativas de logon com tanta frequência, precisará encontrar a fonte (disponível no log de segurança) e corrigi-la. Bloquear temporariamente um IP porque está inundando seu servidor com tentativas de logon apenas ocultará o problema temporariamente.
precisa saber é o seguinte
@ChrisMcKeown Não sigo o que você está sugerindo por 'fonte' em seu comentário. Você quer dizer o serviço aberto no servidor ou algo mais? Considero a pergunta bastante válida e, nas máquinas Unix, bloqueio ofensores repetidos o tempo todo.
precisa saber é o seguinte
A tentativa de logon com falha deve vir de algum lugar, seja um usuário ou um serviço ou executável sendo executado como um usuário específico. A fonte (ou seja, a máquina remota que está tentando fazer logon) será registrada no log de segurança. Tentativas falhadas da taxa de um por segundo é provavelmente algo que merece uma investigação mais aprofundada, em vez de simplesmente bloquear a fonte por pouco tempo (o que isso conseguir?)
Chris McKeown
1
Para responder acima, meu log de eventos mostra muitos endereços IP diferentes de todo o mundo. Comecei a adicionar alguns deles manualmente a uma lista de bloqueios no firewall, mas uma maneira automática seria bem-vinda. Não estou querendo excluir intervalos, para evitar a exclusão de IPs válidos. O único motivo para desbloquear após algum tempo é porque eu posso excluir gateways que novamente poderiam ter outros usuários válidos. Eu só quero desencorajar qualquer tentativa de invasão.
Allie

Respostas:

2

Recentemente, fomos inundados por tentativas semelhantes e tivemos grande sucesso com o fail2ban, que faz exatamente isso: bloqueia um IP de origem depois que N falha nas tentativas de login.

Embora tenha sido projetado para Linux, uma ótima resposta de Evan Anderson à pergunta ServerFault O fail2ban faz o Windows? pode ajudá-lo a implementá-lo.

msanford
fonte
0

Se esse é um problema "interno", sugiro que você siga as orientações listadas acima e encontre o usuário / dispositivo / serviço que está essencialmente tentando fazer força bruta e resolver o problema. Se este for um login remoto vindo de fora, há vários programas / scripts diferentes que "banirão" um IP por várias horas ou dias, para que não possam concluir o ataque. Um desses scripts é escrito por um membro aqui.

Como parar ataques de força bruta no Terminal Server (Win2008R2)?

user72593
fonte
O problema é global, pois recebo os eventos de login com falha de todo o mundo. Você está me fornecendo uma solução que poderia funcionar para mim. Vou dar uma olhada melhor nisso.
quer
0

Como essas tentativas externas de logon são capazes de acessar seu servidor em primeiro lugar? O servidor está executando um site com autenticação ativada ou algo parecido? Quais serviços você está executando e precisam ser expostos ao mundo externo a partir deste servidor? Se for a Área de Trabalho Remota, pessoalmente, eu consideraria usar uma VPN.

Chris McKeown
fonte
Você tem um bom argumento. Este é um servidor público da web, sem necessidade de autenticação, mas com o Remote Desktop Service para poder gerenciá-lo. Eu acho que você está certo de que o Remote Desktop deve ser apenas acessível através de VPN, e que iria terminar o meu problema .. (agora eu preciso encontrar uma maneira de como fazer isso :))
Allie