Eu configurei um servidor Windows 2016 para acesso a área de trabalho remota e instalei o RDPGuard para bloquear ataques de força bruta. Isso funcionou bem por alguns dias e o RDPGuard bloqueou vários endereços IP.
No entanto, alguns dias atrás, notei que o RDPGuard ignorou algumas tentativas de login, pois o endereço de origem era o endereço IP do servidor. Isso agora cresceu para onde estou vendo um par de tentativas de login por segundo, onde o endereço de origem é o IP do servidor, os nomes de login utilizados são provenientes de um dicionário de nomes, por exemplo, JOHN, CARMEN, LISA, etc. de outros endereços IP, mas a maioria usa o endereço IP local. O visualizador de eventos mostra as mesmas informações que o RDPGuard, ou seja, o IP local como o endereço de origem, portanto, não parece ser uma falha com o RDPGuard.
Alguém saberia como o invasor está falsificando o IP do nosso servidor e como evitar isso?
Problema resolvido - também estamos usando o produto AccessNow da Ericom, e encontramos tentativas mal-sucedidas de fazer o login daqui, resultando no endereço IP do servidor sendo a origem, pois o IP de origem não está disponível. Isso não estava ocorrendo em nosso servidor anterior com o AccessNow, então talvez seja uma falha na configuração.