birçok başarısız giriş denemesinden sonra IP adresini otomatik olarak engelle

11

Bir Windows 2008 sunucusunda çok sayıda başarısız giriş denemesi (saniyede 1) alıyorum, çok fazla giriş denemesinden sonra bir hesabı otomatik olarak kilitlemek için zaten yerel güvenlik politikası belirledim, ancak otomatik olarak bir IP adresi eklemenin bir yolu var güvenlik duvarı geçici olarak engellenecek şekilde (30 dakika boyunca diyelim)?

windows  firewall 
Allie
kaynak
1
Bu soruna yanlış bir perspektiften yaklaşıyorsunuz. Hatalı oturum açma girişimleri alıyorsanız, kaynağı (güvenlik günlüğünde bulunur) bulmanız ve düzeltmeniz gerekir. Bir IP'yi geçici olarak engelleme, çünkü sunucunuzu oturum açma denemeleri ile doldurması sorunu yalnızca geçici olarak maskeleyecektir.
Chris McKeown
@ChrisMcKeown Yorumunuzda 'kaynak' ile ne demek istediğinizi takip etmiyorum. Sunucuda açık olan hizmeti mi yoksa başka bir şeyi mi kastediyorsunuz? Soruyu oldukça geçerli görüyorum ve Unix makinelerinde sürekli suçluları da engelliyorum.
13'te
Başarısız oturum açma girişimi, bir kullanıcı veya belirli bir kullanıcı olarak çalışan bir hizmet veya yürütülebilir dosya gibi bir yerden gelmelidir. Kaynak (yani, oturum açmaya çalışan uzak makine) güvenlik günlüğüne kaydedilir. Saniyede bir orandaki başarısız girişimler muhtemelen kaynağı bir süreliğine engellemek yerine daha fazla araştırmayı gerektiren bir şeydir (bu ne elde eder?)
Chris McKeown
1
Yukarıda yanıtlamak için, olay günlüğüm tüm dünyadan birçok farklı IP adresi gösteriyor. Bazılarını güvenlik duvarındaki bir blok listesine manuel olarak eklemeye başladım, ancak otomatik bir yol hoş geldiniz. Geçerli IP'leri hariç tutmak için aralıkları hariç tutmak istemiyorum. Bir süre sonra engellemeyi kaldırmanın tek nedeni, yine diğer geçerli kullanıcılara sahip olabilecek ağ geçitlerini hariç tutabilmemdir. Sadece herhangi bir hack girişiminden vazgeçmek istiyorum.
Allie

Yanıtlar:

2

Son zamanlarda benzer girişimlerle sular altında kaldık ve fail2ban ile büyük başarı elde ettik ;

Linux için tasarlanmış olsa da, Evan Anderson tarafından ServerFault sorusuna harika bir cevap fail2ban Windows yapıyor mu? uygulamanıza yardımcı olabilir.

msanford
kaynak
0

Bu bir "iç" sorun ise, o zaman yukarıda listelenen tavsiyelere uymanızı ve esas olarak yolunu zorlamaya ve sorunu çözmeye çalışan kullanıcı / cihaz / hizmeti bulmanızı öneririm. Bu dışarıdan gelen bir uzaktan giriş ise, bir IP'yi birkaç saat veya gün boyunca "yasaklayacak" ve böylece saldırılarını tamamlayamayacakları bir dizi farklı program / komut dosyası vardır. Bu senaryolardan biri burada bir üye tarafından yazılıyor.

Terminal Server'a (Win2008R2) kaba kuvvet saldırıları nasıl durdurulur?

user72593
kaynak
Tüm dünyadan başarısız giriş etkinliklerini aldığım için sorun küreseldir. Bana işime yarayabilecek bir çözüm sunuyorsun. Daha iyi bakacağım.
Allie
0

Bu harici oturum açma girişimleri sunucunuza ilk etapta nasıl ulaşabilir? Sunucu, kimlik doğrulaması etkin olan bir web sitesi çalıştırıyor mu veya bunun gibi bir şey mi? Bu sunucudan dış dünyaya açık olması gereken hangi hizmetleri yürütüyorsunuz? Uzak Masaüstü ise kişisel olarak bunun yerine VPN kullanmayı düşünürüm.

Chris McKeown
kaynak
İyi bir noktaya temas ettiniz. Bu, herhangi bir kimlik doğrulaması gerekmeksizin, ancak Uzak Masaüstü Hizmeti ile yönetilebilmesi için herkese açık bir web sunucusu olan bir sunucudur. Uzak Masaüstü'nün yalnızca VPN üzerinden erişilebilir olması gerektiğini düşünüyorum ve bu benim sorunumu sona erdirecek .. (şimdi bunu NASIL yapmanın bir yolunu bulmalıyım :))
Allie
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.