Cygwin'i Windows Server 2008 makinesinde SSH deamon ile çalıştırıyorum. Olay Görüntüleyicisi'ne bakıyordum ve farklı IP'lerden geçen hafta kadar saniyede 5 ila 6 başarısız giriş denemesi (kaba kuvvet) fark ettim.
Bu IP'leri manuel olarak tek tek engellemek yerine nasıl otomatik olarak engelleyebilirim?
Teşekkürler Ahmad
Yanıtlar:
Birkaç yıl önce istediğiniz gibi IP adreslerini engellemek için bir program yazdım, ancak bir işe alım işi olarak bir Müşteri için yaptım. Ben bu akşam bir "boş" zaman ile sona erdi beri her şeyi sıfırdan yeniden uygulamak, bazı yararlı belgeler yazmak ve genellikle prezentabl bir program yapmak için seçti. Birden fazla kişiden bunun bunun kullanışlı bir şey olacağını duyduğumdan, muhtemelen zaman ayırmaya değer gibi görünüyor. Umarım siz ve topluluğun diğer üyeleri bundan biraz faydalanabilirler.
sshd_block, sshd tarafından kaydedilen Windows Olay Günlüğü girdilerini almak için WMI olay havuzu olarak işlev gören bir VBScript programıdır. Bu günlük girdilerini ayrıştırır ve bunlara aşağıdaki gibi davranır:
IP adresi "hemen yasakla" olarak işaretlenen bir kullanıcı adıyla oturum açmaya çalışırsa, IP adresi hemen yasaklanır.
IP adresi belirli bir süre içinde izin verilenden daha sık oturum açmaya çalışırsa, IP adresi yasaklanır.
Tekrarlanan oturum açma denemeleriyle ilişkili "hemen yasakla" kullanıcı adları ve eşikleri, komut dosyasının "Yapılandırma" bölümünde yapılandırılabilir. Varsayılan ayarlar aşağıdaki gibidir:
Saniyede bir kez yasaklanma süresi için yasaklanan IP adresleri yasaklanır (kara delik yolunun yönlendirme tablosundan kaldırılmasıyla).
Yazılımı buradan indirebilir ve arşive buradan göz atabilirsiniz .
Düzenle:
2010-01-20 itibariyle, güvenlik duvarı kuralları oluşturarak trafiğin kara tutulmasını sağlamak için Windows Vista / 2008/7/2008 R2'deki "Gelişmiş Güvenlik Duvarı" 'nı desteklemek için kodu güncelledim ( "fail2ban" davranışı). Ayrıca "geçersiz kullanıcı" yerine "geçersiz kullanıcı" yerine OpenSSH sürümlerini yakalamak için bazı eşleşen dizeleri ekledim.
Linux denyhosts hile yapar, size Windows / Cygwin üzerinde çalışıp çalışmayacağını söyleyemem. Bir şans ver.
Bu çok ilginç, şu anda bu çözümü değerlendiriyoruz:
Syspeace, olası tehditleri en iyi performansla algılamak için Windows ile yakın çalışır. Olay günlüğündeki olaylar şüpheli davranışlar için sürekli olarak izlenir. Bir olay sistem için bir tehdit olarak kabul edilirse, Syspeace, IP adresini basitçe engelleyen ve kuralı Windows güvenlik duvarına ekleyen bir iç kural tabanını kontrol ederek bir sonraki seviyeye geçer.
Yerel Beyaz Liste
Bir kullanıcı, örneğin herhangi bir dahili ağın engellenmesini önlemek veya geçici olarak tekli PC eklemek için her zaman Yerel Beyaz Listeye IP adresleri ekleyebilir. Bu listedeki tüm IP'ler Syspeace tarafından güvenilir olarak kabul edildiğinden ve her zaman göz ardı edileceğinden, dikkatli kullanılmalıdır.
Yerel Kara Liste
Tüm tehditler Syspeace tarafından Yerel Kara Listeye otomatik olarak eklenecektir. Kara listeyi her zaman inceleyebilir ve uygun gördüğünüz gibi ekleyebilir veya kaldırabilirsiniz. Ancak, yanlışlıkla bilinmeyen bir bilgisayar korsanının yolunu açabileceğiniz için bu listede herhangi bir değişiklik yapmamanızı öneririz.
Global Kara Liste
Syspeace'in önemli bir özelliği, küresel olarak kara listeye alınan bilinen IP adreslerini önleyici olarak engelleme yeteneğidir. Bu seçeneği belirlediğinizde, Syspeace Global Kara Listeyi istemcinize aktaracak ve buna göre hareket edecek ve küresel olarak listelenen tüm IP adreslerini tek bir düğmeye basarak güvenlik duvarı kural kümesine ekleyecektir.
Mesajlaşma
Önemli bir olay gerçekleştiğinde, hizmet başlatılır veya durdurulur, güvenlik duvarına kurallar yerleştirilir ya da merkezi lisansla iletişim durumu kaldırılır ve genel kara liste sunucusu değiştirilirse, Syspeace, kuruluşunuz.
Raporlar
Önemli bir olay olduğunda e-posta almak iyi olabilir, ancak bazen bir özet de almak isteyebilirsiniz. Syspeace, sisteminizdeki tüm saldırı girişimlerini içeren günlük bir rapor derler ve size bilgileri içeren bir mesaj gönderir. Syspeace de haftalık bir raporu aynı şekilde derler.
www.syspeace.com
Kelimenin tam anlamıyla sunucumdaki Çin / ABD / Hindistan'dan gelen tüm giriş denemeleri, devre dışı bıraktığım Yönetici girişini deneyin.
Yönetici girişini devre dışı bırakmak ve daha sonra kullanıcı adı olarak "Yönetici" kullanarak giriş yapmaya çalışan tüm IP adreslerini engelleyen bir komut dosyası yazmak daha kolay olmaz mıydı?
Kaba kuvvet girişimlerini kontrol etmek için bir Perl betiği olan SSHBlock'u kullanmayı düşünebilirsiniz .
SSHBlock , SSH kullanarak alıştırma girişimleri için bir sistem günlüğü kaydını izlemek ve /etc/hosts.allow (TCP Sarmalayıcıları) öğelerine satır ekleyerek kötü ana bilgisayarları otomatik olarak engellemek için kullanılan bir programdır . Daha uzun veya daha kısa sürede birçok denemeyi deneyenleri engelleyebilmek için birkaç eşik önceden tanımlanmıştır. Komut satırı seçeneklerini görmek için -h komutunu kullanın.
Henüz Cygwin'de hiç kullanmadım.
Bununla birlikte, sshblock'u başka yollarla açıklayan başka bir makaleye bağlantı:
Brute force ssh saldırılarına karşı savunma