bloquer automatiquement l'adresse IP après plusieurs tentatives de connexion infructueuses

10

Je reçois de nombreuses tentatives de connexion infructueuses (1 par seconde) sur un serveur Windows 2008, j'ai déjà défini une politique de sécurité locale pour verrouiller automatiquement un compte après trop de tentatives de connexion, mais existe-t-il un moyen d'inclure automatiquement une adresse IP dans le pare-feu Windows pour qu'il soit temporairement bloqué (disons pendant 30 minutes)?

windows firewall Allie
la source
1
Vous abordez ce problème sous un mauvais angle. Si vous obtenez des tentatives de connexion infructueuses, vous devez souvent trouver la source (disponible dans le journal de sécurité) et la corriger. Le blocage temporaire d'une adresse IP, car il inonde votre serveur de tentatives de connexion, ne masquera que temporairement le problème.
Chris McKeown
@ChrisMcKeown Je ne suis pas ce que vous impliquez par «source» dans votre commentaire. Voulez-vous dire le service ouvert sur le serveur ou autre chose? Je vois la question comme tout à fait valable et sur les machines Unix, je bloque également les contrevenants récurrents.
mikebabcock
La tentative de connexion échouée doit provenir de quelque part, qu'il s'agisse d'un utilisateur ou d'un service ou d'un exécutable exécuté en tant qu'utilisateur particulier. La source (c'est-à-dire la machine distante qui tente la connexion) sera enregistrée dans le journal de sécurité. Les tentatives infructueuses à raison d'un par seconde sont probablement quelque chose qui mérite une enquête plus approfondie plutôt que de simplement bloquer la source pendant un petit moment (qu'est-ce que cela permet?)
Chris McKeown
1
Pour répondre ci-dessus, mon journal des événements montre de nombreuses adresses IP différentes de partout dans le monde. J'ai commencé à ajouter certains d'entre eux manuellement à une liste de blocage sur le pare-feu, mais une méthode automatique serait la bienvenue. Je ne veux pas exclure des plages, pour éviter d'exclure des IP valides. La seule raison de débloquer après un certain temps, c'est parce que je pourrais exclure les passerelles qui pourraient encore avoir d'autres utilisateurs valides. Je veux seulement décourager toute tentative de piratage.
Allie

Réponses:

2

Nous avons récemment été submergés de tentatives similaires et avons eu beaucoup de succès avec fail2ban qui fait précisément cela: bloque une IP source après N tentatives de connexion infructueuses.

Bien qu'il soit conçu pour Linux, une excellente réponse d'Evan Anderson à la question de ServerFault Est-ce que fail2ban fait Windows? peut vous aider à le mettre en œuvre.

msanford
la source
0

S'il s'agit d'un problème «interne», je vous suggère de suivre les conseils ci-dessus et de trouver l'utilisateur / l'appareil / le service qui essaie essentiellement de forcer son chemin et de résoudre le problème. S'il s'agit d'une connexion à distance provenant de l'extérieur, il existe un certain nombre de programmes / scripts différents qui "interdiront" une adresse IP pendant un certain nombre d'heures ou de jours afin qu'ils ne puissent pas terminer leur attaque. Un de ces scripts est écrit par un membre ici.

Comment arrêter les attaques par force brute sur Terminal Server (Win2008R2)?

user72593
la source
Le problème est mondial car je reçois les événements de connexion ayant échoué du monde entier. Vous me fournissez une solution qui pourrait fonctionner pour moi. Je vais mieux voir ça.
Allie
0

Comment ces tentatives d'ouverture de session externes sont-elles en mesure d'atteindre votre serveur en premier lieu? Le serveur exécute-t-il un site Web avec l'authentification activée ou quelque chose comme ça? Quels services exécutez-vous qui doivent être exposés au monde extérieur à partir de ce serveur? Si c'est Remote Desktop, j'envisagerais personnellement d'utiliser un VPN à la place.

Chris McKeown
la source
Vous avez un bon point. Il s'agit d'un serveur qui est un serveur Web public, sans aucune authentification nécessaire, mais avec Remote Desktop Service pour pouvoir le gérer. Je pense que vous avez raison de dire que Remote Desktop ne devrait être accessible que via VPN, et cela mettrait fin à mon problème .. (maintenant, je dois trouver un moyen de le faire :))
Allie