Wail2ban 에 의한 윈도우 방화벽 설정

 Wail2ban 을 이용해 RDP 무차별 대입공격에 대한 보안 설정을 했을 경우, Wail2ban 에 의해 윈도우 방화벽에 차단 등록되는 동작을 PLURA V5에서 탐지할 수 있습니다.


Wail2ban 이란?

https://developer.ibm.com/kr/cloud/softlayer-bluemix-infra/security/2017/08/31/rdp-security-script/


1. 필터 등록 예시

PLURA V5 웹에서 필터 등록으로 설정 방법

필터 > 등록 > 호스트 > 등록하기

그룹 선택 > 운영체제 windows 선택 > Security 채널 선택 > 이벤트타입 선택

image

이벤트 타입에서 방화벽 예외 목록 변경 규칙 추가(4946) 선택

그림과 같이 선택 후 ‘데이터 값’에 wail2ban block 을 넣고 하단의 ‘등록’ 버튼 클릭


2. 방화벽 등록 탐지 예시

Wail2ban 에 의해 윈도우 방화벽에 차단 등록이 되면 아래와 같이 탐지됩니다.

로그 예시 : 필터탐지 > 호스트

image