Почему не работает правило Firewall в Windows Server?

Question

[Royal Shukurov]

Windows Server 2019 расположен в Германии на облачном сервере, все порты перекрыты, кроме RDP (он изменен на другой 44567).
В Правилах в Firewall - разрешено подключаться в RDP в Scope только указанным IP адресам, для проверки с других ИПшников пробую подключиться все работает, т.е. подключение не идет, а вот в RDP Guard (fail2ban программа) все равно в список заблокированных попадают ИП адреса с разных стран.
Как они пытаются подключиться не могу понять.
Удалил все IP адреса в Scope правила, добавил только конкретные ИП адреса, все равно есть новые заблокированные в RDP Guard. Куда копать ?

Comments

[Valentin Barbolin]

а вот в RDP Guard (fail2ban программа) все равно в список заблокированных попадают ИП адреса с разных стран.

Потому что firewall логигует все действия, то в числе на закрытых портах.

[Royal Shukurov]

Valentin Barbolin, ну RDP Guard блокирует только RDP , он сканит номер по Журналу Событий только RDP подключения. Все лишнее телодвижения ему незачем логировать , могу правда ошибаться.
Но на RDP порт могут стучаться только занесенные в белый лист (SCOPE), остальные отсекаются , собственно вопрос как это лечить?)))

[Роман Безруков]

Royal Shukurov, RDPGuard ловит стандартные события 4624 (An account was successfully logged on) и 4625 (An account failed to log on) с LogonType=10 в журнале Security и парсит другие данные этих событий для дальнейшего добавления, например, IP-адреса клиента в список заблокированных и т.д.

Windows Security Log Event ID 4625 is one of the key sources for RdpGuard in RDP brute-force detection routine.

какое место вы хотите лечить?

[Royal Shukurov]

Роман Безруков, Благодарю за развернутый ответ, но ситуация такая.
На RDP порт измененный (44567) В Scope - указанно всего 2 ИПшника (удаленных) , с них идет нормально подключение, для проверки подключаюсь с левого ИП адреса подключение не идет.

Напрягает что в RDP Guard в день по 20 ИП адресов с разных стран блокируются, вот и вопрос почему Firewall работает не четко, все остальные Rules-ы которые могут как-то влиять на RDP порт я позакрывал, оставил только добавленный в ручную с правилом на White List в Scope .

[Роман Безруков]

Royal Shukurov, смотрите в журнале Security количество событий 4625 с LogonType=10...
Там в данных вообще много разных полей, по которым можно, например, узнать причину отказа в доступе...

для проверки подключаюсь с левого ИП адреса подключение не идет

и где тут "нечеткая" работа FW? Вот ваши заблокированные 20 IP-адресов такого же рода...

[Royal Shukurov]

Роман Безруков, Роман благодарю за ответ, я пытаюсь подключиться с левого ИПшника подключение вообще не идет, дропается сразу.
А вот те что заблокированы я не могу понять, как они пытаются достучаться до RDP.
В RDP Guard мы поставили порог блокировки в 3 раза, тоесть если 3 раза ввести пароль неверно он блокирует, я вот не могу понять как они пытаются ввести пароль 3 раза если их должно дропать сразу.
В какую сторону копать, объясните пжлста )
Вот картинка с Security - как -то пытается стучаться в этот порт RDP, хотя его нет в Scope правиле.

spoiler

[Роман Безруков]

Royal Shukurov,

А вот те что заблокированы я не могу понять, как они пытаются достучаться до RDP

ваше правило FW разрешает RDP-подключение к серверу пары-тройки клиентов (белые IP-адреса) через конкретный порт (в правиле указан 44567). Предположу, что когда вы выполняете тестовую проверку правила FW с левого IP-адреса, то в настройках подключения указываете известный вам порт (44567).
Однако атакующие об этом не знают и не пытаются достучаться конкретно до RDP (им, собственно, это и не надо) - они проверяют все возможные варианты/протоколы/порты, чтобы получить доступ к серверу...