Je reçois beaucoup de tentatives de connexion échouées (1 par seconde) sur un serveur Windows 2008, j'ai déjà configuré la politique de sécurité locale pour verrouiller automatiquement un compte après trop de tentatives de connexion, mais existe-t-il un moyen d'inclure automatiquement une adresse IP dans le pare-feu Windows afin qu'elle soit bloquée temporairement (disons pendant 30 minutes) ?
Réponses
Trop de publicités?
msanford
Points
1427
Nous avons récemment été submergés par des tentatives similaires et avons eu beaucoup de succès avec fail2ban qui fait précisément cela : bloquer une IP source après N tentatives de connexion infructueuses.
Bien qu'il soit conçu pour Linux, une excellente réponse d'Evan Anderson à la question de ServerFault. Est-ce que fail2ban fait du Windows ? peut vous aider à le mettre en œuvre.
Jason
Points
385
S'il s'agit d'un problème "interne", je vous suggère de suivre les conseils énumérés ci-dessus et de trouver l'utilisateur/dispositif/service qui essaie essentiellement de se connecter par force brute et de résoudre le problème. S'il s'agit d'une connexion à distance provenant de l'extérieur, il existe un certain nombre de programmes/scripts différents qui "bannissent" une IP pendant un certain nombre d'heures ou de jours afin qu'elle ne puisse pas mener à bien son attaque. Un de ces scripts est écrit par un membre ici.
Comment arrêter les attaques par force brute sur Terminal Server (Win2008R2) ?
Chris McKeown
Points
7128
Comment ces tentatives d'ouverture de session externe peuvent-elles atteindre votre serveur en premier lieu ? Le serveur exécute-t-il un site Web dont l'authentification est activée ou quelque chose du genre ? Quels sont les services que vous exécutez et qui doivent être exposés au monde extérieur à partir de ce serveur ? S'il s'agit de Remote Desktop, j'envisagerais personnellement d'utiliser un VPN à la place.
1 votes
Vous abordez ce problème sous le mauvais angle. Si les tentatives de connexion échouent aussi fréquemment, vous devez en trouver la source (disponible dans le journal de sécurité) et la résoudre. Bloquer temporairement une IP parce qu'elle inonde votre serveur de tentatives de connexion ne fera que masquer temporairement le problème.
0 votes
@ChrisMcKeown Je ne comprends pas ce que vous sous-entendez par "source" dans votre commentaire. Voulez-vous dire le service qui est ouvert sur le serveur ou autre chose ? Je considère que la question est tout à fait valable et, sur les machines Unix, je bloque tout le temps les récidivistes.
0 votes
L'échec de la tentative de connexion doit provenir de quelque part, que ce soit d'un utilisateur, d'un service ou d'un exécutable s'exécutant sous le nom d'un utilisateur particulier. La source (c'est-à-dire la machine distante qui tente de se connecter) sera enregistrée dans le journal de sécurité. Les tentatives échouées au rythme d'une par seconde méritent probablement une enquête plus approfondie que le simple blocage de la source pendant un certain temps (à quoi cela sert-il ?).
2 votes
Pour répondre à la question ci-dessus, mon journal des événements montre de nombreuses adresses IP différentes provenant du monde entier. J'ai commencé à ajouter manuellement certaines d'entre elles à une liste de blocage sur le pare-feu, mais une méthode automatique serait la bienvenue. Je ne veux pas exclure des plages, pour éviter d'exclure des IP valides. La seule raison de débloquer après un certain temps est que je pourrais exclure des passerelles qui pourraient avoir d'autres utilisateurs valides. Je veux seulement décourager toute tentative de piratage.