Блокировать брутфорс удаленного рабочего стола

У меня есть сервер под управлением Windows XP SP3 с port 3389 открытым для удаленного рабочего стола.
Каждый день в файле журнала security появляется много записей с неправильной попыткой входа в систему. Я хотел бы написать простую программу, которая отслеживает входящие соединения на этом порту и добавляет запись в брандмауэр, чтобы блокировать эти атаки грубой силы. Я нашел программу, написанную на C#, которая читает файл журнала и фильтрует попытки входа в систему Weargs: ID 529. К сожалению, в Windows XP файл журнала не содержит исходный IP-адрес попыток. Есть ли способ найти этот IP?


c# windows-xp rdp logfile brute-force
person TheGr8_Nik    schedule 21.03.2014    source источник
comment
Мне грустно, что вы используете Windows XP.   -  person iamkrillin    schedule 12.05.2014
comment
Возможно, имеет смысл задать вопрос на serverfault.com.   -  person Steve    schedule 15.05.2014

Ответы (4)


arrow_upward
3
arrow_downward

На самом деле это не дает ответа на этот вопрос, но вы можете немного скрыть систему, изменив порт удаленного рабочего стола. У вас есть несколько вариантов.

Если он находится за маршрутизатором, вы можете изменить порт, входящий извне, и по-прежнему перенаправлять его в свою систему с помощью обычного порта 3389.

Если ваша система напрямую подключена к Интернету или вы просто хотите изменить локальный порт по другим причинам, вы можете изменить порт прослушивания RDP на другой порт в реестре. Он должен находиться в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStatio ns\RDP-Tcp\PortNumber.

Информация об изменении порта RDP на странице http://support.microsoft.com/kb/306759.

редактировать: для вашего исходного вопроса вы можете использовать что-то вроде wireshark, и он выгрузит журналы и прочитает их через ваше приложение С#.

person soddarkangel    schedule 13.05.2014
comment
Просто для ясности: почти любой хакер в любом случае проведет полное сканирование портов — именно так они обычно находят вас в первую очередь (используя «ботов») — перед любой попыткой взлома любого порта. С учетом сказанного, я всегда скрываю порт, но не верю в то, что это отразит грубые атаки. Вам нужно приложение для мониторинга грубой силы - конец истории. Или лучше - не размещайте RDP на общедоступной/интернет-стороне, если вы можете этого избежать, и используйте VPN. - person B. Shea; 19.10.2017

arrow_upward
1
arrow_downward

Не могли бы вы не только разрешить IP-адресам из белого списка подключаться к удаленному рабочему столу, но и получить полный контроль над тем, кто сможет успешно получить доступ к системе? Сделает ли это ненужным написание этого маленького приложения?

Белый список IP-адресов

person David Watts    schedule 09.05.2014
comment
Я хочу подключиться к серверу и с мобильных устройств, поэтому я не могу отфильтровать IP-адрес коннектора, потому что я не знаю, с каким IP-адресом я буду подключаться. - person TheGr8_Nik; 09.05.2014

arrow_upward
0
arrow_downward

Возможно, вы захотите создать собственное приложение для мониторинга активных подключений к компьютеру (см. статья CodeProject о том, как это сделать), а затем объедините это с программой, которая читает файл журнала. Когда программа находит совпадение в файле журнала, она может добавить правило в брандмауэр.

person Igor Ševo    schedule 14.05.2014

arrow_upward
0
arrow_downward

Похоже, вы ищете систему IDS или IPS, некоторые предложения

  • https://github.com/jjxtra/Windows-IP-Ban-Service - Бесплатно и с открытым исходным кодом!
  • http://rdpguard.com/ — бесплатная программа, но описывает вашу проблему в мельчайших подробностях.
  • http://winsnort.com/ - snort великолепен, но имеет несколько сложных конфигураций, чтобы получить именно то, что вы хотите.
person JasonSec    schedule 15.05.2014