IPBan Konfiguration mit Domino unter Windows - Intrusion Detection
Michael Siegrist 19 August 2019 13:17:17
Um die Windows Eigenheiten zu berücksichtigen und da es Fail2Ban für Windows nicht gibt, nutze ich hier IPBan, welches entsprechend an Windows und dessen Notwendigkeiten angepasst ist.
Der Artikel von Daniel findet sich auf seinem Blog.
Das Ganze gliedert sich in 3 Schritte:
1. Events in Domino in das Windows Event log laufen lassen
2. IPBan installieren
3. IPBan für Domino konfigurieren
1. Events in Domino in das Windows Event log laufen lassen
In der events4.nsf auf dem Dominoserver gilt es einen Event Handler zu erstellen:
Der korrekte Dominoserver muss hier natürlich noch eingetragen werden.
Mit dem String "authentication failure using internet password" sollten alle notwendigen Internetprotokolle abgedeckt sein.
2. IPBan installieren
IPBan kann von hier geladen werden.
Ich habe unter C:\ ein Unterverzeichnis scripts erstellt und das Archiv nach C:\scripts\ entpackt. Nach dem Entpacken des richtigen Unterarchievs (32 oder 64 Bit) habe ich das Verzeichnis in IPBan umbenannt, sodass die Daten unter C:\scripts\IPBan zu finden sind.
In einem Admin Command Prompt sollte, falls nicht schon in den lokalen Sicherheitsrichtlinien aktiviert, folgendes ausgeführt werden:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
auditpol /set /category:"Account Logon" /success:enable /failure:enable
In einer elevated Powershell wird danach folgendes eingegeben:
dir C:\scripts\IPBan | Unblock-File
Hiermit wird in der gleichen Powershell das ganze als Dienst installiert und gestartet.
New-Service -Name "IPBAN" -BinaryPathName "c:\scripts\IPBan\DigitalRuby.IPBan.exe" -StartupType automatic -DisplayName "IPBAN" -Description "Automatically builds firewall rules for abusive login attempts: http://github.com/DigitalRuby/IPBan"
Get-WmiObject win32_service -Filter "name='IPBAN'"
Start-Service IPBAN
sc.exe config IPBAN start= delayed-auto
Nun läuft IPBan schon als Dienst und blockt fleissig, falls installiert,
- RDP
- MSSQL
- MySQL
- MSExchange
- phpMyAdmin
- SSH
- VNC
über Einträge im EventLog.
Da Domino ja jetzt auch ans EventLog reported, gilt es die IPBan Konfiguration um den Domino Event zu erweitern.
3. IPBan für Domino konfigurieren
In C:\scripte\IPBan gibt es die Konfigurationsdatei DigitalRuby.IPBan.dll.config. Diese wird unter ExpressionsToBlock , z.B hinter RDP, um den Domino Part erweitert:
Domino.config
Am Ende der Konfigurationsdatei kann man den Ban auch etwas aggresiver konfigurieren, z.b indem man FailedLoginAttemptsBeforeBan von 5 auf 2 reduziert.
Nach der Änderung sollte der Dienst neu gestartet werden. Nun werden auch die von Domino ins EventLog gespeicherten Attacken nach 2 Versuchen mit der Windows Firewall geblockt.
Zielgruppe: Administrator Kategorien: Sicherheit SMTP Diskussion: Kommentare [1]