টার্মিনাল সার্ভারে (Win2008R2) কীভাবে বর্বর হামলা বন্ধ করা যায়?

ব্রুট ফোর্স আক্রমণ বন্ধ করতে আমি লিনাক্স সরঞ্জামগুলির সাথে আরও পরিচিত, তাই উইন্ডোজের জন্য উপযুক্ত সরঞ্জামগুলি খুঁজে পেতে আমার সমস্যা হচ্ছে। আমি টার্মিনাল সার্ভারের সাথে একটি উইন্ডোজ সার্ভার ২০০৮ আর 2 চালাচ্ছি এবং আরডিপির মাধ্যমে লগইন করার বারবার চেষ্টা করার পরে আমি একটি আইপি ব্লক করতে চাই। কোন ইঙ্গিত?

আরডিপি লগইন প্রচেষ্টা বন্ধ করতে, যেমন ইতিমধ্যে বলা হয়েছে, নির্দিষ্ট আইপি বিচ্ছিন্ন করার জন্য আপনার ফায়ারওয়ালের নিয়ন্ত্রণ প্রয়োজন। আপনি প্রশাসনিক সরঞ্জামগুলিতে কিছু সেটিংস করতে পারেন -> টার্মিনাল পরিষেবা পরিচালক but কিন্তু এইভাবে একটি আইপি থামাতে কিছুই করতে পারবেন না। সম্ভবত আপনি আরডিপি পোর্ট শুনতে এবং লগন ব্যর্থতাগুলি নিয়ন্ত্রণ করতে একটি ব্যাচের স্ক্রিপ্টটি বিবেচনা করতে পারেন, সুতরাং যদি একই আইপি দ্বারা মোট চেষ্টা (আপনি সংখ্যাটি বেছে নিন ...) করেন, তবে জ্ঞাত সময়ের জন্য অন্য কোনও প্রচেষ্টা সম্ভব হয়নি থাকা. আমি নিশ্চিত কিনা এটি সম্ভব কিনা তবে এটি একটি উপায় হতে পারে ...

কেবলমাত্র রেট-সীমাবদ্ধতার সাহায্যে আপনার প্রান্তটি ফায়ারওয়ালে এই প্রচেষ্টাগুলি আটকাতে হবে। আপনার যদি সেই ক্ষমতা না থাকে তবে পড়ুন।

আপনি যদি প্রান্তে ফায়ারওয়ালটি অবরুদ্ধ করতে না পারেন এবং কেবলমাত্র ইন্টারনেটের কোনও উপসেটে আরডিপি খোলার প্রয়োজন হয় ইনকামিং সংযোগগুলি লকড করতে বিল্ট-ইন উইন্ডোজ ফায়ারওয়াল বৈশিষ্ট্যগুলি ব্যবহার করুন।

শেষ অবধি, আপনার কাছে যদি অবশ্যই পুরো ইনটনেটের জন্য আরডিপি খোলা থাকতে পারে তবে আপনার উইন্ডোজের জন্য আমার এসএসএইচ ব্রুট ফোর্স ব্লকার প্রোগ্রামের পরিবর্তিত সংস্করণটি দেখতে পাবেন যা আমি গিথুব সংগ্রহস্থলে রেখেছি । এই স্ক্রিপ্ট, ts_ block, জোর করে টার্মিনাল পরিষেবাদি লগনের উইন্ডোজ সার্ভার 2003, 2008 এবং 2008 আর 2-এ চেষ্টা করে। দুর্ভাগ্যক্রমে, আরডিপির জন্য টিএলএস / এসএসএল সুরক্ষা স্তর ব্যবহার করার সময় উইন্ডোজ লগ করা ইভেন্টগুলিতে পরিবর্তনের কারণে এই স্ক্রিপ্টটি ক্রমশ অকার্যকর হয়ে উঠছে । (কেন মাইক্রোসফ্ট প্রমাণীকরণের চেষ্টা করে হোস্টের আইপি ঠিকানা বাদ দিতে বেছে নিয়েছে? আমার মনে হয় লগইন করা খুব গুরুত্বপূর্ণ বিষয় হবে, তাই না?)

আমার কাছে একটি সি # প্রোগ্রাম রয়েছে যা ঠিক এটি করে। সার্ভার ২০০৮ আর 2 এ আমার একটি সমস্যা ছিল যেখানে ইভেন্ট লগ সর্বদা ব্যবহারকারীর আইপি ঠিকানাগুলি তালিকাভুক্ত করে না (যদি তারা নতুন রিমোট ডেস্কটপ ক্লায়েন্টদের সাথে সংযুক্ত থাকে)। কিছু পরিষেবা তাদের নিজস্ব শংসাপত্রের চেক সরবরাহকারী কার্যকর করে যা আপনাকে চাইবে এমন সমস্ত তথ্য সরবরাহ করে না।

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

রিমোট ডেস্কটপের জন্য তবে আমি আবিষ্কার করেছি যে "রিমোট ডেস্কটপ সেশন হোস্ট কনফিগারেশন" এ গিয়ে আরডিপি-টিসিপি সংযোগ পরিবর্তন করে "আরডিপি সুরক্ষা স্তর" এর সিকিউরিটি স্তর "নেগোটিএট" বা "এসএসএল (টিএলএস 1.0)" এর পরিবর্তে ফিরিয়ে আনা হয়েছে। আইপি ঠিকানা।

আপনি সত্যিই এটি করতে চান কিনা তা আপনার জন্য আরেকটি প্রশ্ন, "আপনি যদি আরডিপি সুরক্ষা স্তর নির্বাচন করেন তবে আপনি নেটওয়ার্ক স্তর প্রমাণীকরণ ব্যবহার করতে পারবেন না।"

আমি http://www.windowsecurity.com/articles/logon-tyype.html সহায়ক হতে পেলাম । আমি ইভেন্টলগ ওয়াচার ব্যবহার করেছি এবং "* [সিস্টেম / ইভেন্টআইডি = 4625 বা সিস্টেম / ইভেন্টআইডি = 4624]" এর সাথে আবদ্ধ থাকি যাতে যদি ব্যবহারকারী সত্যই তাদের পাসওয়ার্ডটি ভুল করে দেয় তবে আমি সাফল্যের একটি খারাপ গণনা পুনরায় সেট করতে পারি। এছাড়াও আমি হোয়াইটলিস্ট করেছি :: 1, 0.0.0.0, 127.0.0.1 এবং "-"। আপনি ল্যান / ম্যানেজমেন্ট আইপি শ্বেতলিস্ট করতে ইচ্ছুক বা নাও করতে পারেন।

আমি ফোরফ্রন্ট টিএমজি ব্যবহার করি তাই আমি আইপিএলের একটি গ্রুপের আইপি অ্যাড্রেসগুলি যুক্ত করার জন্য এপিআই ব্যবহার করেছি এবং আমি সিসকোকে তাদের এসএমবি রাউটারগুলির মধ্যে একটিতে (যা তারা আমাকে আশ্বাস দিয়েছে যে তারা কেবল তারা করতে পারে!)

আপনি যদি তাদের ব্লক করতে দেশীয় উইন্ডোজ ফায়ারওয়ালটি ব্যবহার করতে চান তবে তার জন্য API ("নেটেস অ্যাডফায়ারওয়াল") দেখুন।

নিষেধাজ্ঞার আগে আমি x সংখ্যার প্রয়াসকে অনুমতি দিই এবং একটি সাফল্য গণনা পুনরায় সেট করবে।

আপনি কি ব্রেক-ইনগুলি বা বিশৃঙ্খল লগগুলি প্রতিরোধ করার চেষ্টা করছেন? যদি আপনি ব্রেক-ইনগুলি প্রতিরোধের চেষ্টা করছেন, উইন্ডোজ লগ ইন করার প্রচেষ্টাগুলিকে ব্লক করার একটি অন্তর্নির্মিত উপায় রয়েছে Computer কম্পিউটার কনফিগারেশন -> নীতিগুলি -> উইন্ডোজ সেটিংস -> সুরক্ষা সেটিংস -> এ একাউন্ট লকআউট থ্রেশহোল্ড গ্রুপ নীতি সেটিং রয়েছে> অ্যাকাউন্ট নীতি -> অ্যাকাউন্ট লকআউট নীতি।

আক্রমণকারীরা প্রশাসকের মতো সাধারণ ব্যবহারকারীর নাম ব্যবহার করবে এবং তারা অবশ্যই সেগুলি লক করে ফেলবে। আপনার প্রকৃত প্রশাসনের জন্য একটি পৃথক অ্যাকাউন্ট প্রয়োজন, যা সম্ভবত কোনওভাবেই পরামর্শ দেওয়া উচিত।

ফায়ারওয়াল স্তরে স্বয়ংক্রিয়ভাবে অবরুদ্ধ হওয়ার জন্য ফায়ারওয়াল নিয়মের স্বয়ংক্রিয় আপডেটের সাথে কিছু স্ক্রিপ্টযুক্ত লগ রিডিং প্রয়োজন। আপনার এই ভাবে আইপি ঠিকানার ভিত্তিতে নিয়ম যুক্ত করতে সক্ষম হওয়া উচিত। এটি লিনাক্স সিস্টেমে আইপটিবলগুলি মূলত যা করে।

এটি কিছুটা সুস্পষ্ট হতে পারে তবে আপনি কি অ-মানক বন্দরটিতে দূরবর্তী ডেস্কটপ পরিষেবাদি পরিচালনা করার কথা বিবেচনা করেছেন ? ব্রেকআপগুলি ব্যর্থ করার ক্ষেত্রে এটি আমার পক্ষে খুব কার্যকর।

আপনি যদি এর পরিবর্তে একটি জিইউআই ভিত্তিক সমাধান পেতে চান এবং বিভিন্ন ইভেন্টের জন্য বিভিন্ন নিয়মের বিভিন্ন সেট তৈরি করতে চান তবে আরও কয়েকটি সমাধান রয়েছে। সবচেয়ে সহজটি হবে আরডিপিগার্ড (hxxp: //www.rdpguard.com) তবে কর্পোরেট পরিবেশে আপনি সম্ভবত আরও প্রতিবেদন চান যেমন আক্রমণটি কোথা থেকে এসেছিল (দেশ, উত্স) এবং কোন ব্যবহারকারী নাম ব্যবহার করা হয়েছিল যাতে আপনি দ্রুত করতে পারেন সিদ্ধান্ত নিন যে এটি আপনার নিজের ব্যবহারকারীদের মধ্যে থেকে কোনও একটি দুর্ঘটনাক্রমে তাদের বাধা দিচ্ছে বা আপনি জানেন যেখান থেকে তারা লগইন করে না login

ব্যক্তিগতভাবে আমি সিসপিসকে পছন্দ করি (hxxp: //www.syspeace.com) যা আমাদের জন্য এই সমস্ত কাজ করে তবে আমি ভেবেছিলাম যে আমি উভয়ই যেকোনভাবে উল্লেখ করব

সমাধানটি সহজ: উইন্ডোজ ফায়ারওয়াল সেটআপ করুন যাতে কেবল শ্বেত তালিকাভুক্ত আইপি ঠিকানাগুলি পছন্দসই বাক্সগুলিতে আরডিপি করতে পারে। নিম্নলিখিত সংস্থানটি দেখুন: আমি কীভাবে একটি আইপি থেকে উইন্ডোজ 2008R2 সার্ভারে আরডিপি অ্যাক্সেসের অনুমতি দিতে পারি?

কীভাবে আপনার উইন্ডোজ ওয়েব সার্ভারে বিনা মূল্যে আরডিপি ব্রুট ফোর্স আক্রমণ বন্ধ করতে হয়

https://www.itsmdaily.com/block-rdp-brute-force-attacks-windows-webserver-free/

স্মৃতি ইস্যু !!!!!!: https://gitlab.com/devnulli/EvlWatcher/issues/2

উইন্ডো জন্য, ব্যর্থ 2ban।

https://github.com/glasnt/wail2ban