티스토리 뷰
20년 4월 기준.
wail2ban(https://github.com/glasnt/wail2ban)
https://developer.ibm.com/kr/cloud/softlayer-bluemix-infra/security/2017/08/31/rdp-security-script/
// wail2ban. 실패시 5분 차단.
네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용 NLA(Network Level Authentication) 해제
// 이벤트뷰어의 보안감사 로그에서 접속자 IP가 로깅이 되게 하기 위해 해제. 해제 시 운영체제 레벨에서 원격데스크탑에 대한 인증을 시작하므로 원격데스크탑 접속에 대한 부하가 높아짐으로 DDoS 공격 발생시 부하가 올라갈 수가 있음
제어판-시스템 및 보안-관리 도구-고급 보안이 포함된 Windows Defender 방화벽에서 차단 확인.
차단된 IP 는 Windows Firewall Rule 설정을 Disable 하거나 Delete
스케쥴러 xml UTF-8로 되어있음. xml UTF-16 LE로 변경
// 스케쥴러 xml UTF-16 LE 사용
작업 스케쥴러 버그 NT AUTHORITY\SYSTEM 계정은 import가 안됨. 사용자 변경해서 import하거나 새로 만들어서 세팅 복사해야 할듯.
start_wail2ban.bat
// 파워쉘 뷰어 실행 bat. (관리자 권한으로 실행)
// start_wail2ban.bat 윈도우에서 관리자로 실행 안됨. cmd로 실행해야만 실행됨.
Get-ExecutionPolicy
Restricted
Set-ExecutionPolicy Unrestricted
// 파워쉘 권한 변경. (관리자 권한으로 실행)
don't have a known block type. BLOCK_TYPE 값이 없어서 에러.
if ($OSVersion -match "10") { $BLOCK_TYPE = "NETSH" } 추가
Source IP가 남지 않을때 수정(윈도우 서버 구형)
응용 프로그램 및 서비스 로그-Microsoft-Windows-RemoteDesktopServices-RdpCoreTS-Operational
// mstsc 로그
컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
// 새 키 Microsoft-Windows-RemoteDesktopServices-RdpCoreTS-Operational 추가
$EventTypes = "Application,Security,System,Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational" #Event logs we allow to be processed
// $EventTypes 수정
wail2ban_config.ini
[Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational]
140=RDP Logins
[Whitelist]
// Whitelist 전에 추가
'Study' 카테고리의 다른 글
| php(피에이치피) curl(컬) 관련 (0) | 2024.01.27 |
|---|---|
| Wireshark(와이어샤크) 관련 (0) | 2024.01.27 |
| Java(자바) duration(기간) (0) | 2024.01.27 |
| Database(데이터베이스) Term(용어) 관련 (1) | 2024.01.27 |
| C#(씨샵) Imager(이미지) Merge(합치기) (1) | 2024.01.27 |