IP automatisch sperren nach x. Login-Versuch

[robert.wachtel]

Hallo!

Ich habe das Problem, dass ich bei meinem Windows Server 2008 Web Edition im Event Log unzählige "Einbruchversuche" bzw. Audit Failures von verschiedenen, ständig wechselnden IPs beobachten kann. Da es sich dabei stets um Logon-Versuche auf nicht existente (bzw. nicht für Remote-Zugriff zugelassene) Benutzerkonten handelt, mache ich mir (noch ) keine Sorgen, aber ich würde dennoch gerne die entsprechenden IPs automatisch blocken nach dem x. fehlgeschlagenen Login-Versuch.

Ich kann natürlich die verantwortlichen IPs manuell (wie z.B. bei How to Block an IP Address using IPSec beschrieben) bannen, aber eine automatisierte Lösung wäre mir lieber. Perfekt wäre es natürlich, wenn eine solche automatisierte Sperre nach x Tagen wieder zurückgesetzt würde.

Lösungen für Linux wie z.B. einen IP-Bann-Daemon findet man durchaus durch Google, aber für Windows Server bin ich nicht fündig geworden.

Hat einer eine Idee, einen Ansatzpunkt oder einen Link für mich?

Das wäre super.

Viele Grüße aus Köln

Robert

[blupp1]

Hallo,

wie siehts aus, wenn man den Port verlegt?

[robert.wachtel]

Leider betrifft das zig verschiedene Ports (hier geht es nicht nur um RDP, wo ich schon einen Non-Standard-Port verwende).

[fuchzga]

Mir wäre jedenfalls nicht bekannt, dass es sowas kostenlos und frei verfügbar gibt. Mit etwas scripting know-how dürfte es jedoch machbar sein, soetwas selbst zu gestalten.

Mit netsh könnte man z.b. über ein Script die Windows-Firewall ansteuern.
Noch smarter wäre es natürlich mit Powershell. Hier würde man jedoch ein spezielles cmdlet benötigen. Gerade solch spezielle Sachen sind nicht kostenlos zu haben.

Das ist leider eines der Probleme, die man als Windows-Admin hat. Vieles ist machbar, nur leider liegt nicht alles offen auf dem Präsentierteller.

[robert.wachtel]

Hallo fuchzga,

danke Dir für Deine Antwort. Kostenlos habe ich ja gar nicht gesagt - ich würde schon auch dafür zahlen wollen, so ich denn überhaupt eine Lösung hätte...

Ich versuche gerade, mir etwas zurechtzubasteln.

Wobei ich aber schon eher denke, dass ich zwar mit netsh weiterkomme, aber nicht die (Advanced) Firewall nutzen müsste sondern IPsec, um auch wirklich zuverlässig die "angreifenden" IPs vollständig auszusperren.

[robert.wachtel]

So, ich bin mit meinen Bemühungen tatsächlich einen Schritt weiter gekommen.

Nachdem ich also irgendwie keine so richtige Lösung gefunden habe, habe ich ein kleines Utility geschrieben, das im Task Scheduler mit einem Event-Trigger auf Failed Audits verknüpft wird. Diesem Utility übergebe ich die Event-ID und es sucht sich dann aus der Event-Message die entsprechende IP raus und trägt sie in eine interne Datenbank ein.

Nach dem 5. fehlgeschlagenen Zugriffsversuch einer IP innerhalb einer Stunde wird die IP für einen Tag per IPsec gesperrt. Wurde die betreffende IP insgesamt 5 mal gesperrt, bleibt sie dauerhaft gesperrt.

Seit gestern Abend läuft das Utility auf meinem Windows Server 2008 SP2 im "Beta-Test" und hat auch schon einige IPs gesperrt.

Ich werde das Tool noch ein wenig testen und vielleicht noch mit ein paar Komfort-Funktionen versehen (momentan ist die - zwar nur einmalige - Einrichtung noch mit einiger Handarbeit verbunden). Dann werde ich es als Open-Source-Projekt auf CodePlex - Open Source Project Hosting hosten und darüber bloggen.

Ich sage aber direkt, dass ich vor Mitte Juli nicht dazu kommen werde - ich werde aber in diesem Thread dann nochmal Bescheid sagen.

[fuchzga]

Hört sich gut an.
Wie steuerst du IPSec an? Ich meine es geht nur mit netsh - oder?

[robert.wachtel]

Zitat:

Zitat von fuchzga

Hört sich gut an.

Ja, scheint tatsächlich zufriedenstellend zu arbeiten - mein Security-Log ist merklich geschrumpft...

Zitat:

Wie steuerst du IPSec an? Ich meine es geht nur mit netsh - oder?

Ja, mit netsh. Eine schöne, kurze Übersicht der verwendeten Befehle habe ich bei How to use IPSEC to filter packets ? The Sky is not the limit gefunden.