­čĆí blog.dannykorpan.de Ôľ«


Windows Server Firewall mit IPBan aufwerten

Tags windowsserver ipban firewall
03.12.2022

Fail2Ban

Um einen Server sicher im Internet oder einer DMZ zu betreiben, m├╝ssen bestimmte Grundvoraussetzungen bei der Sicherheit geschaffen werden. Unter anderem eine vern├╝nftig konfigurierte Firewall, regelm├Ą├čige und zeitnahe Einspielung von Sicherheitsupdates, Anmeldung mittels 2-Faktor-Authentifizierung und noch ein paar weitere Punkte. Die integrierte Windows-Firewall wehrt dabei jedoch keine Brute Force-Attacken ab, also das gezielte Durchtesten einer Vielzahl an Benutzernamen und Kennw├Ârtern an unterschiedlichen Diensten wie SSH, VNC, RDP etc. um so in das System einzudringen und die Kontrolle zu ├╝bernehmen. Im schlimmsten Fall ist der Server von au├čen aufgrund ├ťberlastung nicht mehr ansprechbar.

Einen Windows Server im (wilden) Internet einzusetzen bringt eine Reihe zus├Ątzlicher Herausforderung bei der Absicherung mit sich. In diesem kurzen Artikel m├Âchte ich euch erkl├Ąren, wie ich die integrierte Windows Firewall mittels der Open Source Software IPBan aufgewertet habe, um ihr einen von Fail2Ban bekannten Funktionsumfang nachzur├╝sten.

Funktionsumfang

  • Auto ban ip addresses on Windows and Linux by detecting failed logins from event viewer and/or log files. On Linux, SSH is watched by default. On Windows, RDP, OpenSSH, VNC, MySQL, SQL Server and Exchange are watched. More applications can easily be added via config file.
  • Highly configurable, many options to determine failed login count threshold, time to ban, etc.
  • Banning happens basically instantly for event viewer. For log files, you can set how often it polls for changes.
  • Very fast - I’ve optimized and tuned this code since 2012. The bottleneck is pretty much always the firewall implementation, not this code.
  • Unban ip addresses easily by placing an unban.txt file into the service folder with each ip address on a line to unban.
  • Works with ipv4 and ipv6 on all platforms.

Link zum Projekt auf GitHub

Systemvoraussetzungen

IPBan verrichtet seine Arbeit bereits ab Windows Server 2012 . Diese Version von Windows erh├Ąlt jedoch schon seit l├Ąngerer Zeit keine Sicherheitsupdates mehr und daher empfehle ich mindestens einen Windows Server in Version 2019 einzusetzen.

Vorarbeiten

IPBan wird ganz einfach mittels eines PowerShell-Einzelers installiert. Da wir jedoch als Administrator genau wissen m├Âchten, was hier bei der Installation auf unserem System passiert, sehen wir uns zuerst das Installationsskript im Detail an.

Installation und Einrichtung

  1. Sobald du dir dar├╝ber im Klaren bist, was genau bei der Installation passiert, rufst du PowerShell im Administrator-Modus auf und setzt diesen Befehl ab

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/DigitalRuby/IPBan/master/IPBanCore/Windows/Scripts/install_latest.ps1'))

  2. Das war’s auch schon, IPBan ist installiert und verichtet bereits seine Arbeit im Hintergrund. Es wird bei der Installation automatisch ein Dienst installiert. So ist sichergestellt, dass IPBan auch ohne Benutzeranmeldung automatisch im Hintergrund mitstartet. Jetzt kannst du IPBan an deine individuellen Anforderungen anpassen. Ohne weitere Konfiguration ist IPBan jedoch bereits voll funktionsf├Ąhig! Windows Firewall - IPBan

  3. ├ľffne die ipban.config unter ‘C:\Program Files\IPBan’

  4. Die config-Datei ist sehr gut kommentiert, weitere Details findest du im Wiki. Ich habe folgende Einstellungen angepasst:

    <add key="IPThreatApiKey" value="" />
    Um dem Projekt IPThreat IP-Adressen von ausgehenden Brute-Force-Angriffen zu ├╝bermitteln, ben├Âtigt man einen kostenfreien API-Key. Wie man diesen erh├Ąlt, kannst du in den kommentieren Zeilen ├╝ber der Konfigurationseinstellung lesen. Diese Einstellung ist optional. Wer jedoch IPThreat unterst├╝tzten m├Âchte, kann hier mithelfen. Somit kann jeder davon profitieren. Wie du davon profitieren kannst, siehst du in der letzten Einstellung, ganz unten.
    <add key="Whitelist" value=""/> 
    Hier habe ich alle statischen IP-Adressen eingerichtet, von denen ich regelm├Ą├čig aus zugreife. Eine Whitelist eben, damit ich im Fall einer mehrfachen Falscheingabe nicht selbst ausgesperrt werde.
    <add key="ClearFailedLoginsOnSuccessfulLogin" value="true"/>
    Auch ein Administrator kann sich mehrfach vertippen und eine Falscheingabe provozieren, trotz Passwortmanager. Nach einem erfolgreichen Login wird die Anzahl der fehlerhaften Versuche ausgehend von der IP-Adresse zur├╝ckgesetzt. Wir setzen den Wert daher auf true.
    <add key="ProcessInternalIPAddresses" value="false"/>
    Wer IPBan zuerst auf einem internen Testserver ausprobieren m├Âchte, was ich absolut empfehle, sollte den Wert hier auf true setzen.
    <add key="FirewallUriRules" value="IPThreat,01:00:00:00,https://lists.ipthreat.net/file/ipthreat-lists/threat/threat-100.txt.gz,10000"/>
    Hier kommt der erste Punkt mit der ├ťbermittlung der IP-Adresse an IPThreat zum Tragen. Diese Liste aggregiert alle IP-Adressen von denen Attacken ausgehen und sperrt sie bereits im Vorfeld aus. Weitere Listen und Informationen zur Liste selbst, findet ihr hier

  5. Anschlie├čend startet man den IPBan-Dienst neu. Windows Dienste - IPBan

Ob IPBan seine Arbeit verrichtet, kannst du im Logfile ’logfile.txt’ unter ‘C:\Program Files\IPBan’ einsehen. Logfile - IPBan

Bei mir waren innerhalb von 24h mehrere hundert IP-Adressen hinterlegt. IPBan hinterlegt dabei alle Einstellungen transparent in der Windows-Firewall. Windows Firewall - IPBan


BoilerplatesCheat SheetsImpressumDatenschutz