gifts2017

Защита RDP сервера от перебора паролей

Опубликовал Дмитрий Матерс (maters) в раздел Администрирование - Защита, права, пароли

Автоматически добавляет IP адрес атакующего, после определенного в настройках количества неудачных попыток входа в систему, в  фаервол Mikrotik или Брандмауэр Windows (2008 и более).

Консольное приложение, без интерфейса, написанное на Delphi. Программа на основании события вызванного АУДИТОМ ОТКАЗА windows добавляет в фаервол маршрутизатора Mikrotik адрес атакующего компьютера. Имеются настройки количества неудачных попыток входа до блокировки.

Механизм работы:

1) АУДИТ ОТКАЗА с кодом 4625 вызывает в планировщике программу с ключем - IP атакующего.

2) Программа сохраняет этот IP в файле и смотрит количество записей по этому IP

3) При достижении указанного в настройках количества записей IP по SSH отправляет на маршрутизатор Mikrotik/Брандмауэр Windows команду добавления IP в Адрес Лист.

 

Основано на http://infostart.ru/public/238981/

Настройка:

1) Заполнить файл settings.ini информацией о маршрутизаторе и типу фаервола. Более подробная информация в файле Readme.txt

2) Создать в фаерволе Mikrotik правило блокировки с IP из группы указаной в п.1.

3) Создать вызываемую задачу для АУДИТА по руководству http://infostart.ru/public/238981/

4) В задаче ОБЯЗАТЕЛЬНО указать "рабочую директорию" и параметр запуска программы $(IpAddress) (без кавычек и т.п.) и запуск с повышенными привилегиями.

5) В настройка Конфигурация узла Удаленных рабочих столов (настройки RDP) необходимо выбрать Безопастность - Уровень безопасности - "Уровень безопастности RDP"

 

 

2 недели работы приложениея показали 417 блокированных адресов и 129687 отраженных попыток ввода пароля (количество блокированных соединений в Mikrotik)

Скачать файлы

Наименование Файл Версия Размер
ban_ip.rar 6
.rar 402,18Kb
06.03.16
6
.rar 1.0.3.3 402,18Kb Скачать

См. также

Подписаться Добавить вознаграждение

Комментарии

1. Николай ~ ~ (kuzyara) 09.03.16 09:05
Скажите ваш ip адрес? Проверю как работает защита;)
2. v_id (v_id) 09.03.16 10:53
Мне вполне достаточно перевесить порт RDP и http://nerderies.blogspot.ru/2012/12/automatically-banning-ips-with-windows.html для подстраховки
3. Дмитрий Матерс (maters) 09.03.16 12:33
(1) kuzyara, 89.105.153.125 - можно насиловать :)
4. Сергей Сергей (sergey_twin) 29.10.16 10:21
я только не понял откуда винда (в аудите отказа) возьмёт ip адрес атакующего, учитывая что rdp за NATom (за мироктиком), винда увидет только внутренний ip адрес роутера(НАТА) какой нибудь 192.168.0.1(пример). Можете пояснить?
Для написания сообщения необходимо авторизоваться
Прикрепить файл
Дополнительные параметры ответа