bloquea automáticamente la dirección IP después de muchos intentos fallidos de inicio de sesión

10

Recibo muchos intentos fallidos de inicio de sesión (1 por segundo) en un servidor Windows 2008, ya he configurado la política de seguridad local para bloquear automáticamente una cuenta después de demasiados intentos de inicio de sesión, pero hay una manera de incluir automáticamente una dirección IP en el firewall de Windows para que se bloquee temporalmente (por ejemplo, durante 30 minutos)?

windows firewall Allie
fuente
1
Estás abordando este problema desde la perspectiva incorrecta. Si recibe intentos fallidos de inicio de sesión que con frecuencia necesita encontrar el origen (disponible en el registro de seguridad) y solucionarlo. Bloquear una IP temporalmente porque está inundando su servidor con intentos de inicio de sesión solo va a enmascarar el problema temporalmente.
Chris McKeown
@ChrisMcKeown No entiendo lo que estás diciendo por 'fuente' en tu comentario. ¿Te refieres al servicio que está abierto en el servidor o algo más? Veo la pregunta como bastante válida y en las máquinas Unix también bloqueo a los delincuentes repetidos todo el tiempo.
mikebabcock
El intento de inicio de sesión fallido tiene que venir de algún lugar, ya sea un usuario o un servicio o ejecutable que se ejecuta como un usuario en particular. La fuente (es decir, la máquina remota que está intentando iniciar sesión) se registrará en el registro de seguridad. Los intentos fallidos a razón de uno por segundo es probablemente algo que justifica una mayor investigación en lugar de simplemente bloquear la fuente por un tiempo (¿qué logra eso?)
Chris McKeown
1
Para responder arriba, mi registro de eventos muestra muchas direcciones IP diferentes de todo el mundo. Comencé a agregar algunos de ellos manualmente a una lista de bloqueo en el firewall, pero una forma automática sería bienvenida. No quiero excluir rangos, para evitar excluir IP válidas. La única razón para desbloquear después de un tiempo es porque podría excluir puertas de enlace que nuevamente podrían tener otros usuarios válidos. Solo quiero desalentar cualquier intento de pirateo.
Allie

Respuestas:

2

Recientemente nos inundaron con intentos similares y tuvimos un gran éxito con fail2ban, que hace precisamente eso: bloquea una IP de origen después de N intentos fallidos de inicio de sesión.

Si bien está diseñado para Linux, una gran respuesta de Evan Anderson a la pregunta de ServerFault ¿Fail2ban hace Windows? puede ayudarlo a implementarlo.

msanford
fuente
0

Si se trata de un problema "interno", le sugiero que siga los consejos enumerados anteriormente y busque el usuario / dispositivo / servicio que esencialmente está tratando de abrirse paso por la fuerza bruta y resolver el problema. Si se trata de un inicio de sesión remoto que proviene del exterior, hay varios programas / scripts diferentes que "prohibirán" una IP durante varias horas o días para que no puedan completar su ataque. Uno de esos guiones está escrito por un miembro aquí.

¿Cómo detener los ataques de fuerza bruta en Terminal Server (Win2008R2)?

usuario72593
fuente
El problema es global ya que recibo los eventos de inicio de sesión fallidos de todo el mundo. Me estás proporcionando una solución que podría funcionar para mí. Lo veré mejor.
Allie
0

¿Cómo pueden estos intentos de inicio de sesión externos llegar a su servidor en primer lugar? ¿El servidor está ejecutando un sitio web con autenticación habilitada o algo así? ¿Qué servicios está ejecutando que deben exponerse al mundo exterior desde este servidor? Si se trata de Escritorio remoto, personalmente consideraría usar una VPN.

Chris McKeown
fuente
Tienes un buen punto. Este es un servidor que es un servidor web público, sin necesidad de autenticación, pero con el Servicio de Escritorio Remoto para poder administrarlo. Creo que tiene razón en que solo se puede acceder al Escritorio remoto a través de VPN, y eso terminaría con mi problema ... (ahora necesito encontrar una forma de cómo hacerlo :))
Allie