Fail2ban fa Windows?

27

Qualcuno può raccomandare uno strumento simile a fail2ban per un sistema operativo Windows? Ho un paio di server Windows Media che vengono martellati con tentativi di autenticazione a forza bruta. Vorrei collegare questi errori di autenticazione in una sorta di strumento di blocco.

windows  security 
Nurikabe
fonte
Potresti fornire qualche chiarimento? Cosa stai cercando di realizzare? Quale versione di Windows? Stai tentando di bloccare accessi non validi a PC, condivisioni di rete, Terminal Server, pagine ospitate da IIS, ecc.?
Skawt,
Chiarito la mia domanda.
Nurikabe,

Risposte:

30

Non conosco nessuno strumento che lo farà "pronto all'uso". Ho scritto uno script per fare qualcosa del genere con accessi OpenSSH non riusciti su Windows, ma non posso condividerlo con te perché "appartiene" al Cliente per il quale l'ho scritto.

Detto questo, era un semplice programma VBScript che aveva un sink di log degli eventi per cercare nuovi accessi non riusciti e, se abbastanza accaduto in una finestra temporale, aggiungere una route IP (usando il comando "route") per instradare il traffico verso l'offesa Indirizzo IP a un "MS Loopback Adapter" sul sistema.

Per altri tipi di log, sarebbe una cosa abbastanza banale da scrivere. Dato che non avevo IPtables su Windows, l'adattatore loopback sembrava la cosa migliore da fare. (Non è possibile eseguire una "route xxxx mask 255.255.255.255 127.0.0.1" su Windows: è necessario un adattatore per instradare il traffico, poiché il loopback 127.0.0.1 non è un'interfaccia "reale" su Windows.)

(Se vuoi qualcosa di simile scritto, contattami fuori banda e possiamo discutere i dettagli di tale accordo.)

Modificare:

Ho deciso di scrivere qualcosa per farlo e l'ho rilasciato con una licenza gratuita.

Evan Anderson
fonte
3

Dai un'occhiata a questo progetto - ts_block

Lo sto usando e finora è eccezionale (Windows Server 2008 R2 RDS, il sistema è protetto da un firewall ma non mi andava di usare un gateway ssl vpn al server)

chris dolese
fonte
0

Non sembra che fail2ban funzioni su Windows, in quanto richiede iptables che è disponibile solo su Linux.

Tuttavia, suggerirei di bloccare tutto e di inserire nella lista bianca solo gli IP / i nomi che desideri siano in grado di connetterti ai server in questione, se possibile.

David Gardner
fonte
0

Un'altra opzione che ho trovato è QaaSWall , non l'ho ancora testato, ma lo sarò nel giorno successivo.

Matt Bear
fonte
In realtà non funziona su x64, @Evan sto usando la tua sceneggiatura
Matt Bear,
0

Ho trovato uno strumento chiamato RdpGuard ( https://rdpguard.com ) che parte da $ 79 e sembra funzionare. Non l'ho ancora testato, ma potrei provarlo per la mia soluzione SMTP.

Zhong Zhang
fonte
1
Probabilmente sarebbe una buona idea aver usato il prodotto prima di formulare la raccomandazione.
Cory Knutson,
Una società di hosting di macchine virtuali che ho iniziato a utilizzare include una copia nelle loro macchine virtuali Windows. Fa il trucco, e ci sono centinaia di voci del firewall dopo poche settimane.
Atmarx
0

È possibile controllare Win2ban che è un'implementazione Fail2ban per i sistemi Windows. È un pacchetto di Fail2ban, Python, Cygwin, Winlogbeat e molti altri strumenti correlati per renderlo una soluzione completa e pronta all'uso per la protezione dagli attacchi di forza bruta. Un'edizione gratuita completamente funzionale è disponibile per uso non commerciale.

NB! Siamo gli sviluppatori della soluzione.

itefix
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.