winfail2ban VPN / RDP?

Question

winfail2ban VPN / RDP?

#1 resposta do (1 votos)

2

Eu gostaria de banir endereços IP após tentativas incorretas de login (RDP agora, em breve ser VPN assim que eu fizer isso) em uma máquina Windows Server 2008 R2 que eu ajudo a administrar.

Esta resposta fala especificamente sobre o ssh, que eu sou não está funcionando.

Este responder menciona serviços de terminal e área de trabalho remota.

Ninguém menciona especificamente a VPN.

Ambos se aplicam à VPN? Estou um pouco incerto sobre como o Windows lida com esses diferentes logins com falha. Ele se parece com estes serão Tipo de Logon: 10 (RDP) e Tipo de Logon: 3 (VPN + serviços de terminal ...?) Pelo que entendi sobre essas ferramentas é que eles terão que analisar o log de eventos do Windows para capturar os logons incorretos e, em seguida, modificar as regras de firewall.

Eu gostaria de experimentar o WinFail2Ban porque já o usei no Linux. Administrar o Linux (apenas SSH!) É muito mais fácil. Alguém tem experiência com isto? será que vai dar certo? Eu encontrei ZERO perguntas com WinFail2Ban no serverfault.

Muito obrigado pela ajuda. Vou simplesmente começar a tentar coisas, provavelmente começando com o WinFail2Ban. Como sou muito novo no Windows Server 2008, queria postar uma pergunta aqui primeiro.

vpn windows-server-2008-r2

por Brian Stinar 09.06.2013 / 03:52

1 resposta

Tags vpn windows-server-2008-r2

Sonicwall App Control Advanced Problema do banco de dados MySQL da instância do Ubuntu EC2

score 1 · Answer 1

Eu tenho um programa em C # que faz exatamente isso. Eu tive um problema no Server 2008 R2 em que o log de eventos nem sempre listava os endereços IP do usuário (se eles estivessem conectados a partir dos clientes mais recentes da Área de Trabalho Remota). Alguns serviços implementam seu próprio provedor de verificação de credenciais que não fornece todas as informações que você deseja.

link

Para a Área de Trabalho Remota, descobri que entrar em "Configuração do Host de Sessão da Área de Trabalho Remota" e alterar a conexão RDP-TCP para ter a camada de segurança "RDP Security Layer" em vez de "Negociar" ou "SSL (TLS 1.0)" trouxe de volta os endereços IP.

Se você realmente quer fazer isso é outra pergunta para você: "Se você selecionar RDP Security Layer, não poderá usar a Autenticação no Nível da Rede."

A VPN deve gerar eventos semelhantes no Registro de segurança (descobri que o link é útil). Eu usei EventLogWatcher e vinculado a "* [System / EventID = 4625 ou System / EventID = 4624]" para que eu pudesse redefinir uma contagem incorreta no sucesso se o usuário realmente tivesse a senha errada. Também coloquei na lista de permissões :: 1, 0.0.0.0, 127.0.0.1 e "-".

Eu uso o Forefront TMG, então usei a API para adicionar endereços IP inválidos a um grupo de IPs dessa maneira e pedi à Cisco para adicionar acesso API a um dos roteadores SMB (o que eles me garantiram que talvez fizessem !)

Se você quiser usar o Firewall do Windows nativo para bloqueá-los, dê uma olhada na API para isso ("netsh advfirewall").