¿Fail2ban hace Windows?

27

¿Alguien puede recomendar una herramienta similar a fail2ban para un sistema operativo Windows? Tengo un par de servidores de Windows Media que se ven afectados por intentos de autenticación de fuerza bruta. Me gustaría conectar estas fallas de autenticación en algún tipo de herramienta de bloqueo.

windows security nurikabe
fuente
¿Podría dar alguna aclaración? ¿Qué está tratando de lograr? ¿Qué versión de Windows? ¿Está tratando de bloquear inicios de sesión incorrectos en PC, recursos compartidos de red, servidores de terminal, páginas alojadas en IIS, etc.?
Skawt
Aclaro mi pregunta.
nurikabe

Respuestas:

30

No conozco ninguna herramienta que haga esto "fuera de la caja". Escribí un script para hacer algo como esto con inicios de sesión fallidos de OpenSSH en Windows, pero no puedo compartirlo con usted porque "pertenece" al Cliente para el que lo escribí.

Dicho esto, era un simple programa VBScript que tenía un sumidero de registro de eventos para observar nuevos inicios de sesión fallidos y, si ocurría lo suficiente en una ventana de tiempo, agregar una ruta IP (usando el comando "ruta") para enrutar el tráfico al infractor Dirección IP a un "Adaptador de bucle invertido MS" en el sistema.

Para otros tipos de registros, sería un asunto bastante trivial escribir. Como no tenía IPtables en Windows, el adaptador de bucle invertido parecía ser la mejor opción. (No puede hacer una "ruta xxxx máscara 255.255.255.255 127.0.0.1" en Windows; necesita un adaptador para enrutar el tráfico, porque el bucle 127.0.0.1 no es una interfaz "real" en Windows).

(Si desea que se escriba algo como esto, comuníquese conmigo fuera de banda y podemos discutir los detalles de dicho acuerdo).

Editar:

Decidí escribir algo para hacer esto y lo publiqué bajo una licencia gratuita.

Evan Anderson
fuente
3

Mira este proyecto - ts_block

Lo estoy usando y hasta ahora es excelente (Windows Server 2008 R2 RDS, el sistema está detrás de un firewall pero no tenía ganas de usar una puerta de enlace SSL VPN para el servidor)

Chris Dolese
fuente
0

No parece que fail2ban se ejecute en Windows, ya que requiere iptables, que solo está disponible en Linux.

Sin embargo, sugeriría que bloquee todo y ponga en la lista blanca solo las direcciones IP / nombres que desea poder conectar a los servidores en cuestión, si es posible.

David Gardner
fuente
0

Otra opción que he encontrado es QaaSWall , aún no la he probado, pero lo haré al día siguiente.

Matt Bear
fuente
En realidad no funciona en x64, @Evan estoy usando tu script
Matt Bear
0

Encontré una herramienta llamada RdpGuard ( https://rdpguard.com ) que comienza en $ 79 y parece que podría funcionar. Todavía no lo he probado, pero podría intentarlo con mi solución SMTP.

Zhong Zhang
fuente
1
Probablemente sea una buena idea haber usado el producto antes de hacer la recomendación.
Cory Knutson
Una empresa de alojamiento de VM que comencé a usar incluye una copia en sus VM de Windows. Hace el truco, y hay cientos de entradas de firewall después de unas pocas semanas.
atmarx
0

Puede verificar Win2ban, que es una implementación de Fail2ban para sistemas Windows. Es un paquete de Fail2ban, Python, Cygwin, Winlogbeat y muchas otras herramientas relacionadas para que sea una solución completa y lista para usar para la protección contra ataques de fuerza bruta. Una edición gratuita funcional completa está disponible para uso no comercial.

¡NÓTESE BIEN! Somos el desarrollador de la solución.

itefix
fuente