web-dev-qa-db-fra.com

CYGWIN SSHD Autoblock Échec de la connexion

Je couronne Cygwin avec un SSH Demon sur une machine Windows Server 2008. Je regardais l'observateur de l'événement et je remarque jusqu'à 5 à 6 tentatives de connexion en panne par seconde (force brute) pour la semaine dernière, de différents IPS.

Comment puis-je autobloquer ces IP plutôt que de les bloquer un par un manuellement?

Merci, ahmad

20
ANaimi

J'ai écrit un programme pour bloquer les adresses IP comme si vous demandez il y a quelques années, mais l'a fait pour un client en tant que travail à la location. Depuis que je me suis retrouvé avec un moment de "rechange" ce soir, j'ai choisi de réapprovisionner le tout à partir de la terre, écrivez une documentation utile et en faites généralement un programme présentiel. Depuis que j'ai entendu parler de plusieurs personnes que ce serait une chose pratique pour qu'il semble que cela vaut probablement la peine. Espérons que vous, et d'autres membres de la communauté, vous pouvez en tirer des utilisations.


Windows sshd_block

sshd_block est un programme VBScript qui agit comme un évier d'événement WMI pour recevoir les entrées de journal des événements Windows enregistrées par SSHD. Il analyse ces entrées de journal et agit sur eux comme suit:

  • Si l'adresse IP tente de vous connecter avec un nom d'utilisateur signalé comme "interdire immédiatement", l'adresse IP est bannie immédiatement.

  • Si l'adresse IP tente de vous connecter plus fréquemment que celle autorisée dans une période donnée, l'adresse IP est interdite.

Les noms d'utilisateur "Ban immédiatement" et les seuils associés aux tentatives de connexion répétées sont configurables dans la section "Configuration" du script. Les paramètres par défaut sont les suivants:

  • Ban immédiatement Noms d'utilisateur - Administrateur, racine, invité
  • Tentatives de connexion autorisées - 5 en 120 secondes (2 minutes)
  • Durée de l'interdiction - 300 secondes (5 minutes)

Une fois qu'une seconde, toutes les adresses IP interdites pour la durée de l'interdiction sont non utilisées (en ayant la route des trous noirs supprimés de la table de routage).


Vous pouvez télécharger le logiciel ici et pouvez parcourir les archives ici .

Éditer:

A partir de 2010-01-20, j'ai mis à jour le code pour prendre en charge l'utilisation du "pare-feu avancé" sur Windows Vista/2008/7/7/7 2008 R2 pour effectuer une tenue en noir de trafic via la création de règles de pare-feu (ce qui est beaucoup plus en ligne avec le comportement de "échec1ban"). J'ai également ajouté des chaînes assorties supplémentaires pour attraper des versions OpenSSH selon lesquelles "utilisateur invalide", par opposition à "utilisateur illégal".

34
Evan Anderson

Sur Linux Denyhosts fait l'affaire, je ne peux pas vous dire si cela fonctionnera sur Windows/Cygwin ou non. Essaie.

3
Saurabh Barjatiya

Littéralement toutes les tentatives de connexion de Chine/US/Inde sur mon serveur, essayez la connexion administratrice, que j'ai désactivée.

Ne serait-il pas plus facile de désactiver le login admin puis d'écrire un script qui bloque toutes les adresses IP qui tentent de se connecter à l'aide de "Administrateur" comme nom d'utilisateur?

2
user220309

Celui-ci est très intéressant, nous évaluons actuellement cette solution:

SYSPEACE travaille en étroite collaboration avec Windows afin de détecter des menaces possibles à une performance optimale. Les événements dans le journal des événements sont surveillés en permanence pour tout comportement suspect. Si un événement est considéré comme une menace pour le système, SysPeauce procède au niveau suivant en vérifiant une base de règles interne qui bloque simplement l'adresse IP et ajoute la règle au pare-feu Windows.

Whitelist local

Un utilisateur peut toujours ajouter des adresses IP à la liste blanche locale, par exemple, empêcher le blocage des réseaux internes ou ajouter temporairement des ordinateurs simples. Cela devrait être utilisé avec prudence, car toute IP dans cette liste est jugée fiable par SysPace et sera toujours ignorée.

liste noire locale

Toute menace sera automatiquement ajoutée à la liste noire locale par SysPeauce. Vous pouvez toujours passer en revue la liste noire et l'ajouter ou les supprimer comme vous le voyez. Nous avons recommandé cependant que vous ne modifiez aucune modification de cette liste, car vous pourriez accidentellement une manière accidentelle pour un pirate informatique inconnu.

Blacklist global

Une caractéristique essentielle de SysPeauce est la capacité de bloquer les adresses IP sur la liste noires mondialement connues de manière préemptive. En choisissant cette option, SysPeauce importera la liste noire globale sur votre client et agira en conséquence, en ajoutant toutes les adresses IP sur la liste noire globale au jeu de pare-feu en appuyant sur un bouton.

Messagerie

Chaque fois qu'un événement important a lieu, le service est démarré ou arrêté, les règles sont placées ou supprimées du pare-feu ou du statut de la communication au serveur de la liste centrale et de la liste noire globale sont modifiées, SysPseace a la possibilité d'envoyer du courrier aux personnes appropriées votre organisation.

rapports

Obtenir des courriels lorsque l'événement important se produira peut être bon, mais parfois, vous souhaitez également obtenir un résumé. SYSPEACE compile un rapport quotidien avec toutes les tentatives d'attaque de votre système et vous envoie un message avec les informations. SYSPEACE compile également un rapport hebdomadaire de la même manière.

www.syspeace.com.com

2
Derek

Vous pouvez envisager d'utiliser (( SSHBLOCK - Un script PERL pour contrôler des tentatives de force brute.

(( sshblock est un démon pour surveiller un journal syslog pour tentatives de pause à l'aide de SSH et bloquer automatiquement les hôtes incorrects en ajoutant lignes à /etc/hosts.allow (wrappers TCP). Plusieurs seuils sont prédéfinis, pour pouvoir bloquer ceux qui essaient de nombreuses tentatives dans une période plus longue ou plus courte. Utilisez -h pour voir les options de ligne de commande.

Je ne l'ai jamais encore utilisé sur Cygwin.
Toutefois, voici un lien vers un autre article décrivant SSHBLOCK avec d'autres manières:
[.____] - ( défendre contre les attaques de SSH de force brute

1
nik

Vous pourriez avoir besoin de gâcher avec le pare-feu Windows; Cygwin n'aurait pas ce type de fonctionnalité.

1
koenigdmj