Fail2ban fonctionne-t-il avec Windows?

27

Quelqu'un peut-il recommander un outil de type fail2ban pour un système d'exploitation Windows? J'ai quelques serveurs Windows Media qui sont martelés par des tentatives d'authentification par force brute. Je voudrais brancher ces échecs d'authentification dans une sorte d'outil de blocage.

windows security nurikabe
la source
Pourriez-vous apporter quelques éclaircissements? Qu'est-ce que vous essayez d'accomplir? Quelle version de Windows? Essayez-vous de bloquer les mauvaises connexions aux PC, partages réseau, serveurs Terminal Server, pages hébergées par IIS, etc.?
Skawt
Clarifié ma question.
nurikabe

Réponses:

30

Je ne connais aucun outil qui puisse faire cela "prêt à l'emploi". J'ai écrit un script pour faire quelque chose comme ça avec des ouvertures de session OpenSSH échouées sur Windows, mais je ne peux pas le partager avec vous car il "appartient" au client pour lequel je l'ai écrit.

Cela dit, il s'agissait d'un simple programme VBScript qui avait un récepteur de journal des événements pour surveiller les nouvelles ouvertures de session échouées et, si suffisamment de choses se sont produites dans une fenêtre de temps, ajouter une route IP (en utilisant la commande "route") pour acheminer le trafic vers le délinquant Adresse IP à un "adaptateur MS Loopback" sur le système.

Pour d'autres types de journaux, ce serait une question assez banale à écrire. Étant donné que je n'avais pas IPtables sur Windows, l'adaptateur de bouclage semblait être la prochaine meilleure chose. (Vous ne pouvez pas faire un "masque de routage xxxx 255.255.255.255 127.0.0.1" sous Windows - vous avez besoin d'un adaptateur pour acheminer le trafic, car le bouclage 127.0.0.1 n'est pas une interface "réelle" sous Windows.)

(Si vous voulez quelque chose comme ça écrit, contactez-moi hors bande et nous pourrons discuter des détails d'un tel arrangement.)

Modifier:

J'ai décidé d'écrire quelque chose pour le faire et je l'ai publié sous une licence gratuite.

Evan Anderson
la source
3

Découvrez ce projet - ts_block

Je l'utilise et jusqu'à présent, c'est formidable (Windows Server 2008 R2 RDS, le système est derrière un pare-feu mais je n'avais pas envie d'utiliser une passerelle vpn ssl vers le serveur)

chris dolese
la source
0

Cela ne ressemble pas du tout à fail2ban sur Windows, car il nécessite iptables qui n'est disponible que sur Linux.

Cependant, je vous suggère de tout bloquer et de ne mettre sur liste blanche que les adresses IP / noms que vous souhaitez pouvoir vous connecter au (x) serveur (s) en question, si cela est possible.

David Gardner
la source
0

Une autre option que j'ai trouvée est QaaSWall , je ne l'ai pas encore testée, mais je le serai le lendemain.

Ours mat
la source
Ne fonctionne pas réellement sur x64, @Evan j'utilise votre script
Matt Bear
0

J'ai trouvé un outil appelé RdpGuard ( https://rdpguard.com ) qui commence à 79 $ et semble fonctionner. Je ne l'ai pas encore testé, mais je pourrais essayer ma solution SMTP.

Zhong Zhang
la source
1
Ce serait probablement une bonne idée d'avoir utilisé le produit avant de faire la recommandation.
Cory Knutson
Une société d'hébergement de machines virtuelles que j'ai commencé à utiliser inclut une copie sur leurs machines virtuelles Windows. Il fait l'affaire, et il y a des centaines d'entrées de pare-feu après seulement quelques semaines.
atmarx
0

Vous pouvez vérifier Win2ban qui est une implémentation Fail2ban pour les systèmes Windows. Il s'agit d'un ensemble de Fail2ban, Python, Cygwin, Winlogbeat et de nombreux autres outils connexes pour en faire une solution complète et prête à l'emploi pour la protection contre les attaques par force brute. Une édition gratuite entièrement fonctionnelle est disponible pour une utilisation non commerciale.

NB! Nous sommes le développeur de la solution.

itefix
la source