|
|
|
evgen_b
Стаж: 17 лет 1 месяц Сообщений: 624
|
evgen_b ·
17-Май-22 21:53
(3 года 2 месяца назад)
Maza777
Для XP попробуйте более старые версии.
Антология версий 3.7.3 - 6.7.5 с лекарством, описанием и т.д.
Тоже не понимаю зачем ставить XP. Сервер 2016 (или пропатченная Win10 Pro/Ent для режима терминалки), например, передает изображение рабочего стола в H.264 при 30 кадрах в секунду, можно хоть ютуб в терминалке смотреть. Даже 2008R2 это не умеет, жмет отвратительно (забивая канал) и дает 15 кадров в секунду для работы. 2012R2 умеет передавать 30 кадров в секунду с вейвлет-сжатием, это похуже 2016-го, но отличный прогресс по сравнению с 2008R2. Про настройки безопасности я вообще молчу.
Больше всего раздражают персонажи, которые сознательно выбрали в 2022 году путь боли с Windows XP, и хотят навязать свою боль совершенно адекватным непричастным людям.
ADD
Да, и еще. Посмотрел ваши скриншоты на руборде - на Windows 10 и на XP. Не понимаю, что вы хотите. В этих системах программа работает по-разному, поэтому для Win 10 в RDP (там не нужен WinPcap) недоступны настройки выбора. Кроме того, может программа тупо не видит данную версию WinPcap.
И на всякий случай про WinPcap. Если в 2008R2 при подключении RDP установлено сильное шифрование TLS (а именно такое и необходимо выставить), то Windows не записывает в событие информацию об IP-адресе пользователя. RdpGuard обходит это с помощью WinPcap. В Windows 2012 это нелепое поведение исправили. В более древней XP/Vsita, возможно, еще больше заморочек.
|
|
|
|
Maza777
Стаж: 17 лет 3 месяца Сообщений: 188
|
Maza777 ·
21-Май-22 20:12
(спустя 3 дня, ред. 21-Май-22 20:12)
Работаем с тем что есть
Если у программы указано что работает с Win XP , то хотелось бы чтобы оно работало
Перепробовал много версий, везде примерно одна и та же картина.
события в журанлах винды 4625 создаются, брендмауер включен
версия 4.8.9
нет настроек в RDP просто включить и выключить можно, в лог программы ничего не попадает
5.2.3
есть настройки RDP но не могу выбрать winpcap, в лог программы ничего не попадает
5.3.5
есть настройки RDP но не могу выбрать winpcap, в лог программы ничего не попадает
6.7.5
все как и прежде, но еще в логе ошибка
System.Net.WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException: Удаленный сертификат недействителен согласно результатам проверки подлинности.
скрины
Поставил Cyberarms.Intrusion.Detection.v2.1.5, включил агента, результата нет, лог чистый
Пробовал RDPDefender поставить, в описании указано WinXP+ но даже не установилась версии 2.3.10 и 2.4.6
|
|
|
|
Burnoutman
Стаж: 14 лет 1 месяц Сообщений: 40
|
Burnoutman ·
06-Мар-23 11:20
(спустя 9 месяцев)
Стояла версия 5.4.9 где-то год, на Server 2022 и тут вдруг начала кидать ошибки. Что за сервер такой и зачем он ей нужен?
Код:
[W] [2023-03-06 11:11:21] System.Net.WebException: Невозможно соединиться с удаленным сервером ---> System.Net.Sockets.SocketException: Сделана попытка доступа к сокету методом, запрещенным правами доступа 34.237.68.111:443
в System.Net.Sockets.Socket.DoConnect(EndPoint endPointSnapshot, SocketAddress socketAddress)
в System.Net.ServicePoint.ConnectSocketInternal(Boolean connectFailure, Socket s4, Socket s6, Socket& socket, IPAddress& address, ConnectSocketState state, IAsyncResult asyncResult, Exception& exception)
--- Конец трассировки внутреннего стека исключений ---
в System.Net.HttpWebRequest.GetResponse()
в gz.Do()
в hy.b()
|
|
|
|
evgen_b
Стаж: 17 лет 1 месяц Сообщений: 624
|
evgen_b ·
07-Мар-23 00:30
(спустя 13 часов)
Burnoutman
Могу предположить, что это обращение к глобальному списку черных ip-адресов. У разработчиков есть статистика совершенно плохих адресов в пожизненном бане. Вероятно на какой-то стороне произошла блокировка при обращения к ресурсам Amazon ("наши" РКН или
"ихнии" санкции), где расположен этот список. Насколько помню, в версии 5.4.9 этот механизм уже есть, но и без него все будет работать.
|
|
|
|
starlineVASYA
Стаж: 9 лет Сообщений: 1
|
starlineVASYA ·
16-Май-23 09:30
(спустя 2 месяца 9 дней, ред. 16-Май-23 09:30)
Много где ставил эту программу версии 5-4-9. На windows 7 ловит ловить он ловит, но из бана не удаляет. Из списка заблоированных он уходит и в логе пишет , что анблокед. Но доступ пропадает с внешки. Какое правило в брандмауэре он создает? Не могу найти для удаления вручную.
ps
Мое первое сообщение за 6 лет))
Все, нашел. Вопрос снят.
|
|
|
|
Olgherd
Стаж: 18 лет 1 месяц Сообщений: 21
|
Olgherd ·
29-Июн-23 17:09
(спустя 1 месяц 13 дней)
Cyberarms Security Software, походу, помер вообще. Есть ли еще какие аналоги?
|
|
|
|
Dieman_666
Стаж: 13 лет 5 месяцев Сообщений: 82
|
Dieman_666 ·
30-Июн-23 13:17
(спустя 20 часов)
Olgherd
а rdpguard чем не устроил?)
есть кстати ipban, но он без gui
|
|
|
|
WindSurfeR
Стаж: 17 лет 9 месяцев Сообщений: 9
|
WindSurfeR ·
01-Дек-23 13:15
(спустя 5 месяцев)
Приветствую. Вопросик такой, если у сервака поменять порт с 3389 на какой-нибудь 55589, то 5.4.9 версия будет корректно работать?
Вопрос к тому, что год нормально работало на 3389, IP бананились. А после смены на другой порт теперь наблюдаю картину с полным отсутствием банов... Ну не верю я, что боты не пытаются на нестандартные порты ломиться.
|
|
|
|
Dieman_666
Стаж: 13 лет 5 месяцев Сообщений: 82
|
Dieman_666 ·
01-Дек-23 17:07
(спустя 3 часа, ред. 01-Дек-23 17:07)
WindSurfeR
проверь наличие общего доступа с парольной защитой
ну когда не под гостем входят по сети и гость отключен
помню моменты, когда отключал эту функцию, чтобы могли на шары под гостем зайти, так не работал гвард при таком сценарии.
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
27-Дек-23 16:50
(спустя 25 дней)
Да, блин.... Cyberarms кончился. Наверное, после каких-то обнов.
Подписываюсь на топик. 
може и про айпибан почитаю. но лениво как-то, привык к гуям.
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
11-Янв-24 11:41
(спустя 14 дней, ред. 11-Янв-24 11:41)
копался я в логах... подскажите логику гуарда.
я настроил 5 попыток подбора. счетчик сброса на 24 часа.
чаще всего после блокировки адреса логоны прекращаются. но есть и такие вот записи. свеженький кусочек лога:
Код:
[I] [11.01.2024 10:11:08] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:09] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:11] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:13] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:13] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:13] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:13] 95.9.46.138 blocked
[I] [11.01.2024 10:11:14] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:15] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:17] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:19] RDP: failed logon attempt from 95.9.46.138 for user administrator
[I] [11.01.2024 10:11:20] RDP: failed logon attempt from 95.9.46.138 for user administrator
вроде ж как айпишник заблокирован, почему опять детектируются попытки входа?
сервер 2016 стандарт, гуард 5.4.9
к стати, на другом сервере 2016 установлена 6.7.5 и картинка аналогичная. в основном все норм, после пяти попыток логоны прекращаются, но есть и такие записи:
Код:
[I] [2024-01-11 07:14:55] RDP: failed login attempt from 103.6.4.133 for user
[I] [2024-01-11 07:14:56] RDP: failed login attempt from 103.6.4.133 for user Administrator
[I] [2024-01-11 07:14:58] RDP: failed login attempt from 103.6.4.133 for user Administrator
[I] [2024-01-11 07:14:59] RDP: failed login attempt from 103.6.4.133 for user Administrator
[I] [2024-01-11 07:15:01] RDP: failed login attempt from 103.6.4.133 for user Administrator
[I] [2024-01-11 07:15:01] 103.6.4.133 blocked
[I] [2024-01-11 07:15:02] RDP: failed login attempt from 103.6.4.133 for user Administrator
[I] [2024-01-11 07:15:04] RDP: failed login attempt from 103.6.4.133 for user Administrator
[I] [2024-01-11 07:15:05] RDP: failed login attempt from 103.6.4.133 for user Administrator
|
|
|
|
evgen_b
Стаж: 17 лет 1 месяц Сообщений: 624
|
evgen_b ·
11-Янв-24 13:08
(спустя 1 час 27 мин.)
GINic
Блокировка асинхронная, не мгновенная. То есть у атакующей стороны такая тактика - а давай пошлем сразу 1000 запросов, авось пока RdpGuard (или любой аналогичный софт) пропишет в файрволе атакующий IP-адрес, операционная система уже успеет все 1000 запросов отработать и ответит, подошел ли какой пароль из 1000 или нет (кроме того, блокировка осуществляется на входящий трафик, а не на исходящий). И эта тактика отлично работает. То есть если атакующая программа видит, что после 5 попыток происходит блокировка по IP-адресу, она рассылает сообщение другим ботам сети изменить тактику и теперь вместо редких попыток подбора пароля приходят сразу тысячи попыток с одного IP-адреса. К сожалению, механизм реагирования на события RDP (и вообще любого прикладного уровня) не встроен в этот сам прикладной уровень ни в Windows, ни в Linux, и это не позволяет производить фильтрацию оперативно - сразу после количества неудачных попыток входа.
RdpGuard еще более-менее быстро обрабатывает события по подписке, а вот, например, тот же Fail2ban из линукса читает логи, допустим, раз в минуту или в несколько минут. За эти несколько минут атакующая сторона обычно посылает сразу много запросов, потому что знает, что второго шанса все равно не будет, и через минуту этот адрес будет забанен. Это я все наблюдаю на своем Астериске. Таким образом несмотря на то, что бан действительно происходит после, допустим, пятой неправильной попытки, реально система отвечает на большее количество попыток подбора пароля, перед тем, как адрес атакующего попадает в файрвол.
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
11-Янв-24 14:05
(спустя 56 мин.)
evgen_b
спасибо за науку. будем думать, что гуард все-таки хоть в какой-то мере облегчает жизнь серверу
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
16-Янв-24 15:22
(спустя 5 дней)
к стати, мелкое неудобство. при подключении к ВПСке 5.4.9 не показывает евент лог. он пустой. или перезапустить службу, или надо чтобы что-то произошло вот прям счас.
6.7.5 нормально подтягивает какой-то последний кусок лога. поэтому даже на вин7 снес старый гуард и поставил новее.
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
19-Мар-24 12:35
(спустя 2 месяца 2 дня, ред. 19-Мар-24 12:35)
Собрал тазик для бекапа. Использую Вееам агент бесплатная версия.
Установил Вин10 21Н2 ЛТСЦ ИоТ, чтоб хватило наподольше. Установил гуард. разрешил РДП, хочу иметь доступ извне для управления. доступ для админской учетки. создал пользовательскую учетку для клиента вееама, чтобы он смог подключаться к шаре.
на клиенте обычная вин 10 про. бекап произвожу на шаред фолдер тазика. фолдер расшарен для учетки, которая указана в вееам агенте.
итак - погнали. все красиво, вееам все скушал, ему все понравилось, пошел бекап. и тут через 20 минут процесс прервался - недоступен типа ресурс, нету фолдера... из сети не виден, не пингуется. сам тазик к сети пишет подключен, инет есть... в общем, потыкался-потыкался, нету тазика в сети. повозиться пришлось. в сухом остатке - запустил гуард и в журнале увидел, что заблокирован айпишник компа, который бекапился. а с этого айпишника гуард видит неудачные коннекты по РДП с бекапящегося компа с учеткой для вееама.
ничего не понял. тазик надо срачечно отдавать... забил локальную сеть в вайтлист и отдал. там, куда отдал, сейчас вроде все работает. с вайтлистом.
собственно возникает вопрос. кто такой или что такое лезло по РДП без команды на бекапный тазик с бекапящегося компа? или это гуард что-то принимает близко к сердцу? да, версия гуарда 6.7.5.
UP.
на объекте ситуация не повторилась. компы отбекапились, гуард молчит, лог пуст... не знаю, что это было.... 
если это все мусор, пост можно удалить...
|
|
|
|
evgen_b
Стаж: 17 лет 1 месяц Сообщений: 624
|
evgen_b ·
19-Мар-24 12:59
(спустя 23 мин.)
GINic
Это вопрос к разработчикам. Тока не знаю даже к каким - то ли к RdpGuard, то ли к Windows. Но у меня редко такое тоже бывало из внешки, а локалка тоже в белом списке. Не знаю, как у майков устроена проприетарная самба и все запущенные на компьютере службы, но очень вероятно, некоторые из них ломятся куда только могут из любопытства и вызывают на сервере те же события авторизации, что и неудачный вход по RDP. У меня есть очень субъективное подозрение, что после запуска моего скрипта на клиентах, который отключает всякие свистоперделки, телеметрию и непонятные службы и задачи типа xbox, такие события практически сократились до нуля, в отличие от компьютеров, где я этого не делал. Но специально я в этом говне не разбирался. Версия 6.6.7. Писатели RdpGuard однако криворукие, regexp для фильтрации событий у них такие себе в коде. Но более-менее это все как-то работает.
|
|
|
|
bumagka
Стаж: 15 лет Сообщений: 9
|
bumagka ·
28-Май-24 20:32
(спустя 2 месяца 9 дней)
На сервер 2019, где только RDP какую версию лучше поставить?
|
|
|
|
Dieman_666
Стаж: 13 лет 5 месяцев Сообщений: 82
|
Dieman_666 ·
28-Май-24 22:45
(спустя 2 часа 12 мин., ред. 28-Май-24 22:45)
bumagka
6.7.5 из последних версий самая адекватная.
GINic писал(а):
86030291если это все мусор, пост можно удалить...
я к слову локальную подсеть сразу в вайтлист добавляю, ибо внутри многое может происходить)
evgen_b
эту теорию нужно проверять ,но по памяти было такое, что хочешь пару раз подключиться по рдп куда-нить, и пока рдп коннектится (а в некоторых случаях он не мгновенно дает коннект) уже передумываешь подключаться, и вот так если пару раз в процессе при коннекте отбой дать, то айпишник может в блок улететь
|
|
|
|
kaw54
Стаж: 11 лет 8 месяцев Сообщений: 1
|
kaw54 ·
19-Авг-24 07:33
(спустя 2 месяца 21 день, ред. 19-Авг-24 07:33)
Всем привет, установил данную софтину версии 5.4.9 на windows server 2008r2, однако меня смущает то, что блокируются айпишники в локальной сети, подскажите, почему так происходит? Неужто все компы троянами заражены?
и второй вопрос по IPBan для windows server 2008r2, какая версия подойдет, так как последняя только начиная с Windows Server 2016
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
30-Авг-24 14:23
(спустя 11 дней)
локалку в вайтлист занеси просто. а потом разбирайся, что там у тебя по сети ходит
ну и можно прочитать крайний пост evgen_b
|
|
|
|
night_ghost
Стаж: 17 лет 10 месяцев Сообщений: 122
|
night_ghost ·
15-Окт-24 09:11
(спустя 1 месяц 15 дней)
Dieman_666 писал(а):
6.7.5 из последних версий самая адекватная.
Прошу прощения, нигде не увидел - она ipv6 обрабатывать может, или лишь на ipv4 заточена?
|
|
|
|
Dieman_666
Стаж: 13 лет 5 месяцев Сообщений: 82
|
Dieman_666 ·
16-Окт-24 21:27
(спустя 1 день 12 часов)
night_ghost писал(а):
86843193
Dieman_666 писал(а):
6.7.5 из последних версий самая адекватная.
Прошу прощения, нигде не увидел - она ipv6 обрабатывать может, или лишь на ipv4 заточена?
ipv6 тоже блочит, в списках появляются соотв значения.
я правда вырубаю на серваках ipv6, так что могу подсказать лишь то, что работа с ними предусмотрена
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
31-Окт-24 12:45
(спустя 14 дней)
афигеть. сегодня кинул взгляд на лог. среди детекций неудачных подключений увидел вот такие две строчки:
Цитата:
[I] [2024-10-31 01:04:49] Successful login from 94.231.192.184 for user АНОНИМНЫЙ ВХОД, counters were reset.
[I] [2024-10-31 04:13:35] Successful login from 94.231.192.184 for user АНОНИМНЫЙ ВХОД, counters were reset.
это чо вааще было? :-O
айпишник какой-то турецкий...
|
|
|
|
McFly10
Стаж: 19 лет 1 месяц Сообщений: 28
|
McFly10 ·
06-Ноя-24 15:19
(спустя 6 дней)
GINic писал(а):
86917090афигеть. сегодня кинул взгляд на лог. среди детекций неудачных подключений увидел вот такие две строчки:
Цитата:
[I] [2024-10-31 01:04:49] Successful login from 94.231.192.184 for user АНОНИМНЫЙ ВХОД, counters were reset.
[I] [2024-10-31 04:13:35] Successful login from 94.231.192.184 for user АНОНИМНЫЙ ВХОД, counters were reset.
это чо вааще было? :-O
айпишник какой-то турецкий...
Типа у анонимного входа нет пароля, поэтому и проверять-сверять не с чем ) Пропускаем )
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
28-Апр-25 12:24
(спустя 5 месяцев 21 день)
На тренировочном компе с виндовс 11 про установил 6.7.5.
Накатил сверху 9.9.9. Активация сохранилась! Блокировка адресов работает. Включил АЙПИклауд. Получил бодренький рапорт насчет успешной блокировки 4380 адресов от службы айпиклауд.
Изменил дату на 30 мая этого года, т.е. явно больше месяца. Причем менял во время перезагрузки в биосе.
Результат - прога работает, активация не слетела. Хотя может быть, что она плевать хотела на локальное время оси, лезет куда-то на какие-нибудь сервера время посмотреть. Думаю оставить ее на месячишко, проверить. Если будет все ОК, значицца качественная таблетка получилась. Можно обновиться.
|
|
|
|
fmam92
Стаж: 6 лет 7 месяцев Сообщений: 1
|
fmam92 ·
12-Май-25 00:51
(спустя 13 дней)
Установил версию 6.7.5 - полет был нормальный, обновил до версии 9.9.9 - через пару дней слетела активация, пишет осталось 30 дней.
Есть варианты активировать?
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
12-Май-25 12:57
(спустя 12 часов, ред. 02-Июн-25 11:13)
fmam92
у меня пока работает вон с 28 апреля.
вытянула список из 4074 заблокированных адресов из клауда...
ну ХЗ, значит тоже скоро тоже слетит. видимо лучшее враг хорошего.
обновление 02.06.25
работало все... и блокировка, и адреса из клауда подтягивало.
эксперимент закончен.
но все равно стремно как-то. на реальных машинах делать не буду. раз у народа валится.
|
|
|
|
eletsigor
Стаж: 10 лет 7 месяцев Сообщений: 5
|
eletsigor ·
27-Май-25 16:45
(спустя 15 дней)
Может есть у кого такое чудо ?
|
|
|
|
GINic
Стаж: 16 лет 11 месяцев Сообщений: 145
|
GINic ·
28-Май-25 15:20
(спустя 22 часа)
eletsigor
какое-то восьмое?
|
|
|
|
