我正在对我管理的 Windows Server 2008 机器进行例行维护。查看 Windows 事件日志界面中的安全日志时,我看到 15 分钟内发生了 50-200 次登录失败。所以很明显这不是某人忘记了密码。
我知道有很多机器人在 ping 服务器并攻击防火墙。我的问题是,是否有任何标准来衡量问题的严重程度?对于在防火墙后面运行的 Windows Server 来说,什么情况才是正常的?
答案1
我想我将回答自我发布这个问题以来大约六个月内我所学到的东西。
我监控了一台连接到静态 IP 地址的 Windows Server,并设置了基本安全措施(防火墙、关闭不必要的 Windows 服务等)。我发现,如果我让 FTP 运行,使用 IIS 6,每月我会收到 30,000 到 60,000 次随机登录尝试。有些月份的情况比其他月份更糟,批量登录尝试的形式和规模各不相同。他们尝试了很多登录名,有时甚至多次尝试同一个名字。
当我停止 FTP 服务时,登录尝试就停止了。
我们还实施了一套可靠的程序来备份事件日志,这样大量的登录尝试就不会通过堵塞事件日志来掩盖其他活动。
如果其他人有这方面的经验,我会接受其他答案。否则,我会把这个答案留给任何感兴趣的人。
答案2
是的,这是正常的。我有一些客户在互联网上有“堡垒”主机。主要原因(不是我的原因,而是我的客户的原因)是他们有一个 VPS 或 VM,并且出于某种原因需要在那台服务器上运行每一项服务。例如:我的一些客户在他们的 VM 上安装了 WordPress,因此他们需要端口 22 用于 ssh、端口 80 用于他们的 Web、端口 443 用于安全 Web 以及邮件端口 25 和 587(我很友善,我不会限制他们的管理能力,但如果出现问题,我会介入并“管理”他们的邮件子系统)。我甚至有一些客户公开了 mysql 端口 3306;他们告诉我他们必须使用它来进行复制和备份,但幸运的是这种情况比较少见。
要点与 OP 以这种方式相关。是的,如果您在互联网上提供公开服务,它将不断受到攻击,不仅来自脚本小子,而且甚至有一些商业机构这样做,声称记录端口对于互联网范围的安全是“必要的”,这充其量是令人怀疑的。
我认为最好的解决方案是使用私有的非路由网络地址和 VPN 进行管理,并在防火墙上为两个端口 80 和 443 打洞,然后将连接转发到防火墙,只在公共地址上公开这些端口。但我不能让我的客户这样做。
根据我的经验,最大的罪魁祸首来自中国和巴基斯坦。221.xxx 和 222.xxx 网段的某些部分(带有 /13 或 /14 子网)是最大的罪魁祸首。它们每秒钟 24x7x365 运行。我将这些子网永久地安装在防火墙上,仅这些子网就拦截了 20% 的“坏”流量。不幸的是,您无法阻止每个进入防火墙的“坏”连接,因为最终您将会阻止整个互联网。
防火墙可以处理大多数已知或算法攻击,而勤勉的管理可以保证站点的安全。我已经管理面向互联网的主机一段时间了,只有一次我的服务器被入侵,奇怪的是,那台 Sun Microsystems Solaris 机器有一个未修补的基于 RPC/X Windows 的漏洞,但那是 20 多年前的事了。
圣诞快乐