winfail2ban VPN/RDP?

winfail2ban VPN/RDP?

我想在我帮助管理的 Windows Server 2008 R2 机器上尝试进行错误登录(现在是 RDP,一旦我开始使用 VPN)后禁止 IP 地址。

答案专门讨论了 ssh,但我没有运行它。

答案提到终端服务和远程桌面。

没有人特别提到 VPN。

这两种情况都适用于 VPN 吗?我不太清楚 Windows 如何处理这些不同的登录失败。它好像这些将是登录类型:10(RDP)和登录类型:3(VPN +终端服务......?)据我对这些工具的理解,他们必须解析 Windows 事件日志以获取不正确的登录,然后修改防火墙规则。

我想试一试禁止使用WinFail2Ban因为我以前在 Linux 中用过它。管理 Linux(只需 SSH!)要容易得多。有人有这方面的经验吗?它会起作用吗?我在 serverfault 上没有找到任何有关 WinFail2Ban 的问题。

非常感谢您的帮助。我将开始尝试,可能从 WinFail2Ban 开始。由于我对 Windows Server 2008 还很陌生,所以我想先在这里发布一个问题。

答案1

我有一个 C# 程序可以做到这一点。我在 Server 2008 R2 上遇到了一个问题,事件日志并不总是列出用户的 IP 地址(如果他们从较新的远程桌面客户端连接)。某些服务实现了自己的凭据检查提供程序,但无法提供您想要的所有信息。

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

然而,对于远程桌面,我发现进入“远程桌面会话主机配置”并更改 RDP-TCP 连接以获得“RDP 安全层”而不是“协商”或“SSL(TLS 1.0)”的安全层会恢复 IP 地址。

您是否真的想这样做是另一个问题,“如果选择 RDP 安全层,则不能使用网络级别身份验证。”

VPN 应该在安全日志中生成类似的事件(我发现http://www.windowsecurity.com/articles/logon-types.html有帮助)。我使用了 EventLogWatcher 并绑定到“*[System/EventID=4625 或 System/EventID=4624]”,这样如果用户确实只是输错了密码,我就可以成功重置错误计数。此外,我还将 ::1、0.0.0.0、127.0.0.1 和“-”列入了白名单。

我使用 Forefront TMG,因此我使用 API 以此方式将不良 IP 地址添加到一组 IP 中,并且我已要求 Cisco 将 API 访问权限添加到他们的一个 SMB 路由器(他们向我保证他们可能会这样做!)

如果您想使用本机 Windows 防火墙来阻止它们,请查看其 API(“netsh advfirewall”)。

相关内容