일반 윈도우 원격데스크탑 허용시 무차별 적인 공격이 들어오는건 아주 흔한 일이다
그렇다고 방화벽이나 vpn을 구성하기도 마땅 하지 않은 경우 ipban이라는 오픈소스 아주 좋은 방어 프로그램이 있다
여기 https://github.com/DigitalRuby/IPBan/releases 윈도우용을 다운 후 압축을 풀고 임의 경로에 넣어준다
난 c:\IPBan이라는 폴더를 만들고 파일을 이동해주었다
관리자 권한을 cmd를 열고 아래 내용을 붙여 넣기
보안정책 변경 부분
auditpol.exe /set /category:"{69979849-797A-11D9-BED3-505054503030}" /success:enable /failure:enable
auditpol.exe /set /category:"{69979850-797A-11D9-BED3-505054503030}" /success:enable /failure:enable
서비스 관련 설정
sc.exe create IPBAN type= own start= delayed-auto binPath= C:\IPBan\DigitalRuby.IPBan.exe DisplayName= IPBAN
sc.exe description IPBAN "Automatically builds firewall rules for abusive login attempts:https://github.com/DigitalRuby/IPBan"
sc.exe failure IPBAN reset= 9999 actions= "restart/60000/restart/60000/restart/60000"
sc.exe start IPBANipban.config 파일을 열어서 아래 처럼 값을 지정
10회 로그인 실패시 차단
<add key="FailedLoginAttemptsBeforeBan" value="10"/>
1주일 차단
<add key="BanTime" value="07:00:00:00"/>
차단후 제거 2일
<add key="ExpireTime" value="02:00:00:00"/>메모장으로 해당일자 로그 파일을 열면 아래처럼 로그인 실패가 로그가 보인다
2024-07-17 19:09:41.1081|WARN|IPBan|Login failure: 80.94.95.199, , RDP, 2, 14
2024-07-17 19:09:56.1162|WARN|IPBan|Login failure: 80.94.95.199, , RDP, 4, 14
2024-07-17 19:10:11.1384|WARN|IPBan|Login failure: 80.94.95.199, , RDP, 6, 14
2024-07-17 19:10:11.1384|INFO|IPBan|IP blacklisted: False, user name blacklisted: False, fails user name white list regex: False, user name edit distance blacklisted: False
2024-07-17 19:10:11.1384|WARN|IPBan|Banning ip address: 80.94.95.199, user name: , config blacklisted: False, count: 6, extra info: , duration: 30.00:00:00
2024-07-17 19:10:11.1384|WARN|IPBan|Updating firewall with 1 entries...
2024-07-17 19:10:11.1384|INFO|IPBan|Firewall entries updated: 80.94.95.199
sqlite로 구현이 되어서 sqlite파일을 열어도 로그를 볼수가 있다
원격데스크탑 rdp 로그인 무차별 대입 ip 차단 하기 ipban