tự động chặn địa chỉ IP sau nhiều lần đăng nhập thất bại

10

Tôi đang nhận được rất nhiều lần thử đăng nhập thất bại (1 giây) trên máy chủ Windows 2008, tôi đã đặt chính sách bảo mật cục bộ để tự động khóa tài khoản sau quá nhiều lần thử đăng nhập, nhưng có cách nào để tự động đưa địa chỉ IP vào tường lửa Windows để nó tạm thời bị chặn (giả sử trong 30 phút)?

windows  firewall 
Allie
nguồn
1
Bạn đang tiếp cận vấn đề này từ quan điểm sai lầm. Nếu bạn gặp lỗi đăng nhập thất bại thường xuyên, bạn cần tìm nguồn (có sẵn trong nhật ký bảo mật) và sửa nó. Chặn một IP tạm thời vì nó làm ngập máy chủ của bạn bằng các nỗ lực đăng nhập chỉ nhằm che giấu vấn đề tạm thời.
Chris McKeown
@ChrisMcKeown Tôi không làm theo những gì bạn ngụ ý bởi 'nguồn' trong bình luận của bạn. Bạn có nghĩa là dịch vụ mở trên máy chủ hoặc cái gì khác? Tôi thấy câu hỏi này khá hợp lệ và trên các máy Unix tôi cũng chặn những người vi phạm nhiều lần.
mikebabcock
Nỗ lực đăng nhập thất bại phải đến từ một nơi nào đó, có thể là người dùng hoặc dịch vụ hoặc thực thi đang chạy như một người dùng cụ thể. Nguồn (tức là máy từ xa đang cố đăng nhập) sẽ được ghi lại trong nhật ký bảo mật. Những nỗ lực thất bại với tốc độ một giây có lẽ là điều cần đảm bảo điều tra thêm thay vì chỉ đơn giản là chặn nguồn trong một thời gian (điều đó đạt được gì?)
Chris McKeown
1
Để trả lời ở trên, nhật ký sự kiện của tôi hiển thị nhiều địa chỉ IP khác nhau từ khắp nơi trên thế giới. Tôi bắt đầu thêm một số trong số chúng theo cách thủ công vào danh sách chặn trên tường lửa, nhưng một cách tự động sẽ được hoan nghênh. Tôi không muốn loại trừ phạm vi, để ngăn chặn loại trừ IP hợp lệ. Lý do duy nhất để bỏ chặn sau một thời gian, là vì tôi có thể loại trừ các cổng mà một lần nữa có thể có người dùng hợp lệ khác. Tôi chỉ muốn ngăn cản mọi nỗ lực hack.
Allie

Câu trả lời:

2

Gần đây chúng tôi đã tràn ngập những nỗ lực tương tự và đã thành công lớn với fail2ban , chính xác là: chặn IP nguồn sau khi N không đăng nhập được.

Trong khi nó được thiết kế cho linux, một câu trả lời tuyệt vời của Evan Anderson cho câu hỏi ServerFault Liệu fail2ban có làm Windows không? có thể giúp bạn thực hiện nó

msanford
nguồn
0

Nếu đây là một vấn đề "nội bộ" thì tôi khuyên bạn nên làm theo lời khuyên được liệt kê ở trên và tìm người dùng / thiết bị / dịch vụ mà về cơ bản là cố gắng bắt bẻ và giải quyết vấn đề. Nếu đây là thông tin đăng nhập từ xa đến từ bên ngoài thì có một số chương trình / tập lệnh khác nhau sẽ "cấm" IP trong một vài giờ hoặc vài ngày để họ không thể hoàn thành cuộc tấn công của mình. Một trong những kịch bản được viết bởi một thành viên ở đây.

Làm thế nào để ngăn chặn các cuộc tấn công vũ phu trên Terminal Server (Win2008R2)?

người dùng72593
nguồn
Vấn đề là toàn cầu khi tôi nhận được các sự kiện đăng nhập thất bại từ khắp nơi trên thế giới. Bạn đang cung cấp cho tôi một giải pháp có thể làm việc cho tôi. Tôi sẽ có một cái nhìn tốt hơn về nó.
Allie
0

Làm thế nào những nỗ lực đăng nhập bên ngoài này có thể đến máy chủ của bạn ở nơi đầu tiên? Là máy chủ đang chạy một trang web với xác thực được kích hoạt hoặc một cái gì đó như thế? Những dịch vụ nào bạn đang chạy cần được tiếp xúc với thế giới bên ngoài từ máy chủ này? Nếu đó là Remote Desktop thì cá nhân tôi sẽ xem xét sử dụng VPN thay thế.

Chris McKeown
nguồn
Bạn có một điểm tốt. Đây là một máy chủ là một máy chủ web công cộng, không cần bất kỳ xác thực nào, nhưng với Remote Desktop Service để có thể quản lý nó. Tôi nghĩ bạn đã đúng rằng Remote Desktop chỉ có thể truy cập thông qua VPN và điều đó sẽ chấm dứt vấn đề của tôi .. (bây giờ tôi cần tìm cách LÀM THẾ NÀO để làm điều đó :))
Allie
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.