Cygwin SSHd 자동 차단 실패 로그인


20

Windows Server 2008 컴퓨터에서 SSH 데몬으로 Cygwin을 실행하고 있습니다. 이벤트 뷰어를보고 다른 IP에서 지난 주 동안 초당 5-6 회의 로그인 시도 실패 (브 루트 포스)를 발견했습니다.

이러한 IP를 하나씩 수동으로 차단하지 않고 자동 차단하는 방법은 무엇입니까?

고마워, Ahmad

답변:


34

몇 년 전과 같이 IP 주소를 차단하는 프로그램을 작성했지만 고용주로서 고객에게 해주었습니다. 오늘 저녁에 "예비"시간을 갖기 때문에 모든 것을 처음부터 다시 구현하고 유용한 문서를 작성하고 일반적으로 발표 가능한 프로그램으로 만들었습니다. 여러 사람들로부터 이것이 유용한 시간이 될 것 같다는 말을 들었으므로 아마 시간 가치가있는 것 같습니다. 바라건대 당신과 다른 지역 사회 구성원들이 그것을 이용할 수 있기를 바랍니다.


윈도우 sshd_block

sshd_block은 sshd에 의해 기록 된 Windows 이벤트 로그 항목을 수신하기위한 WMI 이벤트 싱크 역할을하는 VBScript 프로그램입니다. 이 로그 항목을 구문 분석하고 다음과 같이 작동합니다.

  • IP 주소가 "즉시 금지"로 표시된 사용자 이름으로 로그온을 시도하면 IP 주소가 즉시 금지됩니다.

  • 지정된 시간 동안 허용 된 것보다 자주 IP 주소로 로그온을 시도하면 IP 주소가 차단됩니다.

반복 로그온 시도와 관련된 "바로 금지"사용자 이름 및 임계 값은 스크립트의 "구성"섹션에서 구성 할 수 있습니다. 기본 설정은 다음과 같습니다.

  • 즉시 사용자 이름 금지-관리자, 루트, 게스트
  • 로그온 시도 허용-120 초에 5 분 (2 분)
  • 금지 기간-300 초 (5 분)

차단 기간 동안 금지 된 IP 주소는 1 초에 한 번 차단됩니다 (라우팅 테이블에서 블랙홀 경로를 제거하여).


당신은 소프트웨어를 다운로드 할 수 있습니다 여기에 아카이브를 찾아 볼 수 있습니다 여기에 .

편집하다:

2010-01-20 기준으로 Windows Vista / 2008 / 7 / 2008 R2에서 "고급 방화벽"을 사용하도록 지원하도록 코드를 업데이트하여 방화벽 규칙을 생성하여 트래픽을 블랙 홀드하도록 수행했습니다. "fail2ban"의 동작). 또한 "잘못된 사용자"가 아닌 "유효하지 않은 사용자"인 OpenSSH 버전을 포착하기 위해 일치하는 문자열을 추가했습니다.


2
귀하의 작업에 감사 드리며 훌륭한 아이디어라고 생각하지만 RDP 시도와 함께 작동하도록 수정 될 가능성이 있습니까? 내 Windows 서버는 지속적으로 온라인 공격을 당하고 계정 잠금은 해당 사용자가 다시 작업 할 수 있도록 반 효과를 잠금 해제해야하지만 다른 잠금을 위해 사용자 계정을 백업합니다.


이 스크립트는 진행중인 무차별 대입 공격이없는 경우에도 CPU의 10 % 이상을 빨아들입니다 ...
jjxtra

@PsychoDad : 관심이 있으시면 저에게 직접 연락하시면 문제를 해결해 드리겠습니다. 당신이보고있는 행동을 보지 못했습니다.
Evan Anderson

1
RDP 연결에서도이 기능을보고 싶습니다. 감사합니다
boomhauer

3

Linux에서는 거부 호스트가 트릭을 수행하므로 Windows / Cygwin에서 작동하는지 여부를 알 수 없습니다. 시도 해봐.


2

이것은 매우 흥미 롭습니다. 현재이 솔루션을 평가하고 있습니다.

Syspeace는 최적의 성능으로 가능한 위협을 탐지하기 위해 Windows와 긴밀히 협력합니다. 이벤트 로그의 이벤트는 의심스러운 동작이 있는지 지속적으로 모니터링됩니다. 이벤트가 시스템에 대한 위협으로 간주되는 경우 Syspeace는 IP 주소를 차단하고 Windows 방화벽에 규칙을 추가하는 내부 룰베이스를 검사하여 다음 레벨로 진행합니다.

지역 화이트리스트

사용자는 항상 내부 화이트리스트에 IP 주소를 추가하여 내부 네트워크의 차단을 방지하거나 단일 PC를 일시적으로 추가 할 수 있습니다. 이 목록의 모든 IP는 Syspeace에서 신뢰할 수있는 것으로 간주되며 항상 무시되므로주의해서 사용해야합니다.

지역 블랙리스트

Syspeace는 모든 위협을 로컬 블랙리스트에 자동으로 추가합니다. 블랙리스트를 항상 검토하고 원하는대로 추가하거나 제거 할 수 있습니다. 그러나 알려지지 않은 해커를 우연히 막을 수 있으므로이 목록을 변경하지 않는 것이 좋습니다.

글로벌 블랙리스트

Syspeace의 주요 기능은 알려진 글로벌 블랙리스트 IP 주소를 선제 적으로 차단하는 기능입니다. 이 옵션을 선택하면 Syspeace는 글로벌 블랙리스트를 클라이언트로 가져오고 그에 따라 조치를 취합니다. 버튼을 누르면 모든 글로벌 블랙리스트 IP 주소를 방화벽 규칙 세트에 추가합니다.

메시징

중요한 이벤트가 발생하거나 서비스가 시작 또는 중지 될 때마다 규칙이 방화벽에 배치되거나 방화벽에서 제거되거나 중앙 라이센스로의 통신 상태가 변경되고 글로벌 블랙리스트 서버가 변경되며 Syspeace는 해당 담당자에게 메일을 발송할 수 있습니다. 당신의 조직.

보고서

중요한 이벤트가 발생할 때 이메일을받는 것이 좋을 수도 있지만 때로는 요약을 원할 수도 있습니다. Syspeace는 시스템에 대한 모든 공격 시도와 함께 매일 보고서를 작성하고 정보가 포함 된 메시지를 보냅니다. Syspeace는 동일한 방식으로 주간 보고서를 작성합니다.

www.syspeace.com


2

말 그대로 내 서버의 중국 / 미국 / 인도에서 모든 로그인 시도는 관리자 로그인을 시도하여 비활성화합니다.

관리자 로그인을 비활성화 한 다음 "관리자"를 사용자 이름으로 사용하여 로그인을 시도하는 모든 IP 주소를 차단하는 스크립트를 작성하는 것이 더 쉽지 않습니까?


1

Windows 방화벽을 망쳐 놓아야 할 수도 있습니다. Cygwin에는 이러한 유형의 기능이 없습니다.


1

무차별 대입 시도를 제어하기위한 Perl 스크립트 인 SSHBlock 사용을 고려할 수 있습니다.

SSHBlock 은 SSH를 사용한 침입 시도에 대한 syslog 로그를 모니터하고 /etc/hosts.allow(TCP Wrappers)에 행을 추가하여 불량 호스트를 자동으로 차단하는 데몬입니다. 더 길거나 더 짧은 기간 내에 많은 시도를 시도하는 사람들을 차단할 수 있도록 몇 가지 임계 값이 미리 정의되어 있습니다. 명령 행 옵션을 보려면 -h를 사용하십시오.

나는 아직 Cygwin에서 사용한 적이 없습니다.
그러나 다음은 다른 방법으로 sshblock을 설명하는 다른 기사에 대한 링크입니다.
무차별 공격 ssh 공격에 대한 방어

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.