secara otomatis memblokir alamat IP setelah banyak upaya login gagal

11

Saya menerima banyak upaya login gagal (1 per detik) pada server Windows 2008, saya telah menetapkan kebijakan keamanan lokal untuk secara otomatis mengunci akun setelah terlalu banyak upaya login, tetapi apakah ada cara untuk secara otomatis memasukkan alamat IP dalam firewall Windows sehingga akan diblokir sementara (katakanlah selama 30 menit)?

windows firewall Allie
sumber
1
Anda mendekati masalah ini dari perspektif yang salah. Jika Anda gagal mencoba masuk yang sering Anda perlu menemukan sumber (tersedia di log keamanan) dan memperbaikinya. Memblokir IP sementara karena itu membanjiri server Anda dengan upaya masuk hanya akan menutupi masalah sementara.
Chris McKeown
@ChrisMcKeown Saya tidak mengikuti apa yang Anda maksudkan dengan 'sumber' dalam komentar Anda. Apakah maksud Anda layanan yang terbuka di server atau yang lain? Saya melihat pertanyaan sebagai cukup valid dan pada mesin Unix saya memblokir pelanggar berulang juga sepanjang waktu.
mikebabcock
Upaya masuk yang gagal harus berasal dari suatu tempat, baik itu pengguna atau layanan atau berjalan sebagai pengguna tertentu. Sumber (yaitu mesin jarak jauh yang mencoba masuk) akan dicatat dalam log keamanan. Upaya gagal dengan kecepatan satu per detik mungkin adalah sesuatu yang menjamin penyelidikan lebih lanjut daripada hanya memblokir sumber untuk sementara waktu (apa yang dicapai?)
Chris McKeown
1
Untuk menjawab di atas, log acara saya menunjukkan banyak alamat IP yang berbeda dari seluruh dunia. Saya mulai menambahkan beberapa dari mereka secara manual ke daftar blokir di firewall, tetapi cara otomatis akan diterima. Saya tidak ingin mengecualikan rentang, untuk mencegah pengecualian IP yang valid. Satu-satunya alasan untuk membuka blokir setelah beberapa waktu, adalah karena saya mungkin mengecualikan gateway yang lagi dapat memiliki pengguna lain yang valid. Saya hanya ingin mencegah upaya hack.
Allie

Jawaban:

2

Kami baru-baru ini dibanjiri dengan upaya serupa dan sukses besar dengan fail2ban yang melakukan hal itu: memblokir IP sumber setelah N gagal mencoba masuk.

Meskipun dirancang untuk linux, jawaban yang bagus oleh Evan Anderson untuk pertanyaan ServerFault Apakah fail2ban melakukan Windows? dapat membantu Anda menerapkannya.

msanford
sumber
0

Jika ini merupakan masalah "internal" maka saya akan menyarankan Anda mengikuti saran yang tercantum di atas dan menemukan pengguna / perangkat / layanan yang pada dasarnya mencoba untuk memaksa masuk dan memecahkan masalah. Jika ini adalah login jarak jauh yang berasal dari luar maka ada sejumlah program / skrip yang berbeda yang akan "mencekal" IP selama beberapa jam atau hari sehingga mereka tidak dapat menyelesaikan serangan mereka. Salah satu skrip itu ditulis oleh seorang anggota di sini.

Bagaimana cara menghentikan serangan brute force pada Terminal Server (Win2008R2)?

pengguna72593
sumber
Masalahnya bersifat global karena saya mendapatkan acara masuk yang gagal dari seluruh dunia. Anda memberi saya solusi yang bisa bekerja untuk saya. Saya akan melihatnya dengan lebih baik.
Allie
0

Bagaimana upaya-upaya logon eksternal ini dapat menjangkau server Anda? Apakah server menjalankan situs web dengan otentikasi diaktifkan atau sesuatu seperti itu? Layanan apa yang Anda jalankan yang perlu diekspos ke dunia luar dari server ini? Jika Remote Desktop maka secara pribadi saya akan mempertimbangkan menggunakan VPN sebagai gantinya.

Chris McKeown
sumber
Kamu punya pendapat bagus. Ini adalah server yang merupakan server web publik, tanpa perlu otentikasi apa pun, tetapi dengan Layanan Desktop Jarak Jauh untuk dapat mengelolanya. Saya pikir Anda benar bahwa Remote Desktop hanya dapat diakses melalui VPN, dan itu akan mengakhiri masalah saya .. (sekarang saya perlu menemukan cara BAGAIMANA melakukan itu :))
Allie