Консольное приложение, без интерфейса, написанное на Delphi. Программа на основании события вызванного АУДИТОМ ОТКАЗА windows добавляет в фаервол маршрутизатора Mikrotik адрес атакующего компьютера. Имеются настройки количества неудачных попыток входа до блокировки.
Механизм работы:
1) АУДИТ ОТКАЗА с кодом 4625 вызывает в планировщике программу с ключем - IP атакующего.
2) Программа сохраняет этот IP в файле и смотрит количество записей по этому IP
3) При достижении указанного в настройках количества записей IP по SSH отправляет на маршрутизатор Mikrotik/Брандмауэр Windows команду добавления IP в Адрес Лист.
Основано на //infostart.ru/public/238981/
Настройка:
1) Заполнить файл settings.ini информацией о маршрутизаторе и типу фаервола. Более подробная информация в файле Readme.txt
2) Создать в фаерволе Mikrotik правило блокировки с IP из группы указаной в п.1.
3) Создать вызываемую задачу для АУДИТА по руководству //infostart.ru/public/238981/
4) В задаче ОБЯЗАТЕЛЬНО указать "рабочую директорию" и параметр запуска программы $(IpAddress) (без кавычек и т.п.) и запуск с повышенными привилегиями.
5) В настройка Конфигурация узла Удаленных рабочих столов (настройки RDP) необходимо выбрать Безопастность - Уровень безопасности - "Уровень безопастности RDP"
2 недели работы приложениея показали 417 блокированных адресов и 129687 отраженных попыток ввода пароля (количество блокированных соединений в Mikrotik)
