บล็อกที่อยู่ IP โดยอัตโนมัติหลังจากการพยายามลงชื่อเข้าใช้ล้มเหลวหลายครั้ง

11

ฉันได้รับความพยายามในการเข้าสู่ระบบล้มเหลวจำนวนมาก (1 ต่อวินาที) บนเซิร์ฟเวอร์ Windows 2008 ฉันได้ตั้งค่านโยบายความปลอดภัยในพื้นที่เพื่อล็อคบัญชีโดยอัตโนมัติหลังจากพยายามเข้าสู่ระบบมากเกินไป แต่มีวิธีที่จะรวมที่อยู่ IP โดยอัตโนมัติ ไฟร์วอลล์ Windows จะถูกบล็อกชั่วคราว (พูดเป็นเวลา 30 นาที) หรือไม่

windows  firewall 
อัลลี
แหล่งที่มา
1
คุณกำลังเข้าใกล้ปัญหานี้จากมุมมองที่ผิด หากคุณพยายามเข้าสู่ระบบล้มเหลวบ่อยครั้งคุณจำเป็นต้องค้นหาแหล่งที่มา (มีอยู่ในบันทึกความปลอดภัย) และแก้ไข การบล็อก IP เป็นการชั่วคราวเนื่องจากมีน้ำท่วมเซิร์ฟเวอร์ของคุณด้วยความพยายามในการเข้าสู่ระบบจะทำการปกปิดปัญหาชั่วคราว
Chris McKeown
@ChrisMcKeown ฉันไม่ได้ติดตามสิ่งที่คุณอ้างถึงโดย 'แหล่งที่มา' ในความคิดเห็นของคุณ คุณหมายถึงบริการที่เปิดอยู่บนเซิร์ฟเวอร์หรืออย่างอื่นหรือ ฉันเห็นคำถามว่าค่อนข้างถูกต้องและในเครื่อง Unix ฉันบล็อกผู้กระทำผิดซ้ำเช่นกันตลอดเวลา
mikebabcock
ความพยายามในการเข้าสู่ระบบที่ล้มเหลวต้องมาจากที่ใดที่หนึ่งไม่ว่าจะเป็นผู้ใช้หรือบริการหรือการปฏิบัติการที่เรียกใช้ในฐานะผู้ใช้เฉพาะ แหล่งที่มา (เช่นเครื่องระยะไกลที่พยายามเข้าสู่ระบบ) จะถูกบันทึกไว้ในบันทึกความปลอดภัย พยายามที่ล้มเหลวในอัตราหนึ่งต่อวินาทีอาจเป็นสิ่งที่ใบสำคัญแสดงสิทธิตรวจสอบต่อไปมากกว่าเพียงแค่การปิดกั้นแหล่งที่มาสำหรับเล็ก ๆ น้อย ๆ ในขณะที่ (สิ่งที่จะบรรลุ?)
คริส McKeown
1
เพื่อตอบคำถามข้างต้นบันทึกเหตุการณ์ของฉันแสดงที่อยู่ IP ที่แตกต่างกันมากมายจากทั่วทุกมุมโลก ฉันเริ่มเพิ่มบางรายการด้วยตนเองในรายการบล็อกบนไฟร์วอลล์ แต่ยินดีต้อนรับวิธีอัตโนมัติ ฉันไม่ต้องการแยกช่วงเพื่อป้องกันการยกเว้น IP ที่ถูกต้อง เหตุผลเดียวในการยกเลิกการปิดกั้นหลังจากเวลาผ่านไปก็เพราะฉันอาจยกเว้นเกตเวย์ซึ่งอีกครั้งอาจมีผู้ใช้ที่ถูกต้องอื่น ๆ ฉันเพียงต้องการกีดกันการแฮ็คใด ๆ
Allie

คำตอบ:

2

เราถูกน้ำท่วมเมื่อเร็ว ๆ นี้ด้วยความพยายามที่คล้ายกันและประสบความสำเร็จอย่างยิ่งใหญ่กับfail2banซึ่งทำได้อย่างแม่นยำว่า: บล็อก IP ต้นทางหลังจาก N ล้มเหลวในการพยายามเข้าสู่ระบบ

ในขณะที่มันถูกออกแบบมาสำหรับ linux คำตอบที่ดีโดย Evan Anderson สำหรับคำถาม ServerFault fail2ban ทำ Windows ได้หรือไม่ อาจช่วยให้คุณใช้งานได้

msanford
แหล่งที่มา
0

หากนี่เป็นปัญหา "ภายใน" ฉันขอแนะนำให้คุณทำตามคำแนะนำที่ระบุไว้ข้างต้นและค้นหาผู้ใช้ / อุปกรณ์ / บริการที่พยายามบังคับให้เข้ามาและแก้ไขปัญหา หากนี่เป็นการลงชื่อเข้าใช้จากระยะไกลที่มาจากภายนอกมีจำนวนโปรแกรม / สคริปต์ต่าง ๆ ที่จะ "ห้าม" IP เป็นเวลาหลายชั่วโมงหรือหลายวันเพื่อให้พวกเขาไม่สามารถโจมตีได้ หนึ่งในสคริปต์เหล่านั้นเขียนโดยสมาชิกที่นี่

วิธีหยุดการเดรัจฉานบังคับโจมตีบนเซิร์ฟเวอร์เทอร์มินัล (Win2008R2)?

user72593
แหล่งที่มา
ปัญหาคือทั่วโลกเนื่องจากฉันได้รับเหตุการณ์การเข้าสู่ระบบที่ล้มเหลวจากทั่วทุกมุมโลก คุณกำลังให้ทางออกแก่ฉันที่สามารถใช้งานได้สำหรับฉัน ฉันจะดูดีขึ้น
อัลลี
0

ความพยายามในการเข้าสู่ระบบภายนอกเหล่านี้สามารถเข้าถึงเซิร์ฟเวอร์ของคุณตั้งแต่แรกได้อย่างไร เซิร์ฟเวอร์ที่ใช้งานเว็บไซต์ที่เปิดใช้งานการรับรองความถูกต้องหรือเป็นเช่นนั้นหรือไม่ คุณกำลังใช้บริการใดที่ต้องเผชิญกับโลกภายนอกจากเซิร์ฟเวอร์นี้ หากเป็นเดสก์ท็อประยะไกลส่วนตัวแล้วฉันจะพิจารณาใช้ VPN แทน

Chris McKeown
แหล่งที่มา
คุณมีจุดดี นี่คือเซิร์ฟเวอร์ซึ่งเป็นเว็บเซิร์ฟเวอร์สาธารณะโดยไม่ต้องมีการตรวจสอบสิทธิ์ แต่มีบริการเดสก์ท็อประยะไกลเพื่อให้สามารถจัดการได้ ฉันคิดว่าคุณถูกต้องที่ Remote Desktop ควรเข้าถึงได้ผ่าน VPN เท่านั้นและนั่นจะทำให้ปัญหาของฉันหายไป .. (ตอนนี้ฉันต้องหาวิธีที่จะทำเช่นนั้น :))
Allie
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.