Подходит ли fail2ban для Windows?
Может ли кто-нибудь порекомендовать инструмент, похожий на fail2ban, для ОС Windows? У меня есть пара серверов Windows Media, которые забиты попытками проверки подлинности методом грубой силы. Я хотел бы вставить эти сбои аутентификации в какой-нибудь инструмент блокировки.
Я не знаю ни одного инструмента, который бы сделал это «из коробки». Я написал сценарий, чтобы сделать что-то подобное при неудачных попытках входа в систему OpenSSH в Windows, но я не могу поделиться им с вами, потому что он «принадлежит» Заказчику, для которого я его написал.
Сказав это, это была простая программа VBScript, которая имела приемник журнала событий для отслеживания новых неудачных входов в систему и, если во временном окне произошло достаточно событий, добавляла IP-маршрут (с помощью команды "route") для маршрутизации трафика к нарушителю. IP-адрес «адаптера обратной связи MS» в системе.
Для других типов журналов это было бы довольно тривиальным делом для записи. Поскольку у меня не было IPtables в Windows, адаптер обратной петли казался мне лучшим вариантом. (Вы не можете выполнить «маску маршрута x.x.x.x 255.255.255.255 127.0.0.1» в Windows - вам нужен адаптер для маршрутизации трафика, потому что петля 127.0.0.1 не является «настоящим» интерфейсом в Windows.)
(Если вы хотите написать что-то подобное, свяжитесь со мной вне группы, и мы сможем обсудить особенности такой аранжировки.)
Редактировать:
Я решил написать что-нибудь для этого и выпустил это под бесплатной лицензией.
Посмотрите этот проект - ts_block
Я использую его, и пока он потрясающий (Windows Server 2008 R2 RDS, система находится за брандмауэром, но мне не хотелось использовать шлюз ssl vpn к серверу)
wail2ban утверждает, что является портом fail2ban для Windows
Я нашел инструмент под названием RdpGuard (https://rdpguard.com), который начинается с 79 долларов и, похоже, может сработать. Я еще не тестировал его, но могу попробовать использовать свое SMTP-решение.
Недавно я установил IPBan на Windows Server 2019:
https://github.com/digitalruby/ipban
И это радикально уменьшило количество неудачных входов в систему по RDP:
Это не похоже на то, что fail2ban работает в Windows, так как для этого требуется iptables, который доступен только в Linux.
Однако я бы посоветовал вам заблокировать все и внести в белый список только IP-адреса / имена, с которыми вы хотите иметь возможность подключаться к рассматриваемым серверам, если это вообще возможно.
Другой вариант, который я нашел, это QaaSWall, Я еще не тестировал, но буду на следующий день или около того.
Вы можете проверить Win2ban который является реализацией Fail2ban для систем Windows. Это пакет Fail2ban, Python, Cygwin, Winlogbeat и многих других связанных инструментов, которые делают его полным и готовым к использованию решением для защиты от атак методом перебора. Полный функционал бесплатная версия доступен для некоммерческого использования.
NB! Мы разработчик решения.