여러 번의 로그인 시도 실패 후 자동으로 IP 주소 차단

11

Windows 2008 서버에서 여러 번의 로그인 시도 실패 (초당 1 회)를 받고 있는데, 너무 많은 로그인 시도 후 계정을 자동으로 잠그도록 로컬 보안 정책을 이미 설정했지만 IP 주소를 자동으로 포함시키는 방법이 있습니까? Windows 방화벽이 일시적으로 차단되도록 (예 : 30 분)?

windows  firewall 
앨리
소스
1
잘못된 관점에서이 문제에 접근하고 있습니다. 로그온 시도에 실패하는 경우 자주 보안 로그에서 사용 가능한 소스를 찾아 수정해야합니다. 로그온 시도로 서버에 과부하가 발생하여 IP를 일시적으로 차단하는 것은 일시적으로 문제를 숨길뿐입니다.
Chris McKeown
@ChrisMcKeown 귀하의 의견에 'source'가 암시하는 것을 따르지 않습니다. 서버 나 다른 서비스에서 열려있는 서비스를 의미합니까? 나는 그 질문이 상당히 유효하다고 생각하고 유닉스 컴퓨터에서는 반복적 인 위반자를 항상 차단합니다.
mikebabcock 2018 년
실패한 로그온 시도는 사용자 또는 특정 사용자로 실행중인 서비스 또는 실행 파일이 어디에서 왔어 야합니다. 소스 (즉, 로그온을 시도하는 원격 시스템)는 보안 로그에 기록됩니다. 초당 1 개의 비율로 실패한 시도는 단순히 소스를 잠시 차단하지 않고 추가 조사가 필요한 것일 수 있습니다 (무엇을 달성합니까?)
Chris McKeown
1
위의 대답에 따르면, 나의 이벤트 로그에는 전 세계의 다양한 IP 주소가 표시됩니다. 방화벽의 일부를 방화벽의 차단 목록에 수동으로 추가하기 시작했지만 자동으로 환영합니다. 유효한 IP 제외를 방지하기 위해 범위를 제외하고 싶지 않습니다. 얼마 후 차단을 해제해야하는 유일한 이유는 다른 유효한 사용자를 다시 가질 수있는 게이트웨이를 제외 할 수 있기 때문입니다. 해킹 시도를 권장하지 않습니다.
Allie

답변:

2

우리는 최근 비슷한 시도로 넘쳐 났고 fail2ban로 큰 성공을 거두었습니다 .N2 로그인 시도가 실패한 후 소스 IP를 차단합니다.

에반 앤더슨 (Evan Anderson)은 Linux 용으로 설계되었지만 ServerFault 질문에 대한 훌륭한 답변 fail2ban은 Windows를 수행합니까? 구현하는 데 도움이 될 수 있습니다.

엠산 포드
소스
0

이것이 "내부"문제라면 위에 나열된 조언을 따르고 본질적으로 문제를 해결하기 위해 무차별 적으로 시도하는 사용자 / 장치 / 서비스를 찾으십시오. 외부에서 들어오는 원격 로그인 인 경우 여러 시간 또는 며칠 동안 IP를 "금지"하여 공격을 완료 할 수없는 다양한 프로그램 / 스크립트가 있습니다. 이 스크립트 중 하나는 여기 회원이 작성합니다.

터미널 서버 (Win2008R2)에 대한 무차별 대입 공격을 중지하는 방법은 무엇입니까?

사용자
소스
전 세계에서 실패한 로그인 이벤트를 받으면 문제가 심각합니다. 당신은 저를 위해 일할 수있는 솔루션을 제공하고 있습니다. 나는 그것을 더 잘 볼 것이다.
Allie
0

이러한 외부 로그온 시도는 처음에 서버에 어떻게 도달 할 수 있습니까? 인증이 활성화 된 웹 사이트를 서버에서 실행하고 있습니까? 이 서버에서 외부에 노출해야하는 서비스는 무엇입니까? 원격 데스크톱 인 경우 개인적으로 VPN을 대신 사용하는 것이 좋습니다.

Chris McKeown
소스
당신은 좋은 지적이 있습니다. 인증이 필요하지 않지만 원격 데스크톱 서비스를 사용하여 관리 할 수있는 공용 웹 서버 인 서버입니다. 원격 데스크톱은 VPN을 통해서만 액세스 할 수 있어야하므로 문제가 끝날 것입니다 .. (지금은 방법을 찾아야합니다.)
Allie
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.