En çok brute-force saldırısına uğrayan sistemler arasında Windows sunucular bulunur; RDP, SMB, IIS ve Exchange servisleri bu saldırıların merkezinde yer alır. Saldırganların amacı, defalarca hatalı parola denemesiyle sisteme girmektir. Böyle durumlarda Wail2ban devreye girer. Windows için geliştirilen bu araç, Linux’taki Fail2ban ile aynı mantıkla çalışır. Event Log üzerinden başarısız oturum açma denemelerini takip ederek şüpheli aktiviteleri yakalar ve saldırıların engellenmesini sağlar.
Wail2ban Nedir ?
Windows tabanlı sistemlerde brute-force saldırılarını engellemek için kullanılan açık kaynaklı bir çözüm olan Wail2ban, sistem loglarını takip ederek başarısız oturum girişlerini tespit eder. Limit değer aşıldığında saldırgan IP adresi otomatik olarak yasaklanır.
Örneğin, aynı IP adresinden beşten fazla başarısız RDP giriş denemesi yapılırsa, Wail2ban bu adresi algılar ve Windows Defender Firewall’a erişim kısıtlaması kuralı ekler. Bu mekanizma ile IIS, Exchange ve SMB servisleri daha güvenli hale gelir.
Wail2ban Kurulumu
Wail2ban yazılımı, düşük kaynak tüketimi sayesinde Windows sunuculara kolaylıkla entegre edilebilir. İndirme işlemi için resmi GitHub adresi veya topluluk tarafından sağlanan alternatif paketler kullanılabilir.
İndirme ve Kurulum
Paketi C:\Program Files\Wail2ban\ dizinine çıkaralım. Yönetici olarak install-service.bat dosyasını çalıştırarak servisi Windows’a ekleyelim. Bu komut ile servis başlatılır ve arka planda çalışmaya başlar.
net start wail2banKonfigürasyon Dosyası
Linux’taki jail.local mantığına benzer şekilde, Wail2ban da config.json dosyası üzerinden yapılandırılır. Burada hangi servisin izleneceği, başarısız girişler için eşik değerleri ve ban süresi belirlenir.
{
"jails": [
{
"name": "RDP",
"eventlog": "Security",
"query": "4625",
"maxretry": 5,
"findtime": 600,
"bantime": 1800,
"action": "block"
}
]
}- eventlog → İzlenecek log kaynağı (Security).
- query → Windows Event ID (4625 = başarısız oturum açma denemesi).
- maxretry → Kaç başarısız girişten sonra IP engellenecek.
- findtime → Deneme sayısının hesaplanacağı süre (saniye).
- bantime → IP’nin engelli kalacağı süre (saniye).
Servisi Başlatma
net start wail2banServis, arka planda otomatik çalışarak logları analiz etmeye başlar.
Test Etme
Yanlış şifre ile birkaç kez RDP oturumu açmayı deneyelim. Tanımlanan eşik değerine ulaşıldığında, Wail2ban ilgili IP’yi Windows Firewall’a otomatik olarak ekleyerek engelleyecektir.
Wail2ban Loglarının İzlenmesi
Wail2ban, tıpkı Linux’taki Fail2ban gibi engelleme aksiyonlarını loglar.
Varsayılan log dosyası C:\Program Files\Wail2ban\logs\wail2ban.log dizininde bulunur.
2025-09-09 11:42:13 [RDP] Ban 192.168.1.100 after 5 failed attemptsBu loglardan hangi IP’lerin engellendiği ve hangi servisin hedef alındığı kolayca takip edilebilir. Ayrıca loglar merkezi izleme sistemlerine de aktarılabilir.
SNMP ve Monitoring Entegrasyonu
Wail2ban tek başına brute-force saldırılarını engeller; ancak saldırı yoğunluğunu ve saldırı trendlerini merkezi olarak görebilmek için monitoring çözümleri devreye girer. Özellikle Zabbix, Wail2ban loglarını toplayarak saldırı denemelerinin zaman içindeki dağılımını ve yoğunluğunu grafiklerle gösterebilir.
- Hangi IP aralıklarından saldırı geldiği,
- Hangi servislerin daha çok hedef alındığı,
- Saldırı yoğunluğunun gün ve saat bazlı değişimi dashboard üzerinden kolayca analiz edilebilir.
Hazırladığımız Zabbix Dashboard ile Proxmox Sanallaştırma İzleme yazısına göz atabilirsiniz.
Dinamik Ban Süresi
Sabit ban süresi kullanmak saldırganlar için tahmin edilebilir bir zafiyet oluşturabilir. Spiceworks topluluğunda paylaşılan şu PowerShell betiğiyle ban süreleri rastgeleleştirilerek bu sorun önlenebilir:
$randomizor = Get-Random -Minimum ([math]::pow(5,$Setting)*1) -Maximum ([math]::pow(5,$Setting)*60)
$BanDuration = [math]::min([math]::pow(5,$Setting)*60 + [int]$randomizor, $MAX_BANDURATION)Bu yöntem, her engellemede süreyi farklılaştırarak brute-force saldırılarının tekrar deneme zamanını tahmin edilemez hale getirir.
Ayrıntılar için; Spiceworks Wail2ban Tartışması.
Sık Sorulan Sorular
Wail2ban ile Fail2ban arasındaki fark nedir?
Fail2ban Linux sistemlerde çalışır ve iptables/nftables gibi araçlarla IP’leri engeller. Wail2ban ise Windows için geliştirilmiş benzer bir mantığa sahip çözümdür ve Event Log + Windows Firewall kullanarak IP’leri bloklar.
Wail2ban hangi servisleri korur?
En çok brute-force saldırılarının hedef aldığı RDP, SMB, IIS, Exchange ve FTP servislerini korur. Event Log üzerinden başarısız oturum açma denemelerini izleyerek IP’leri engeller.
Wail2ban ücretsiz mi?
Evet, Wail2ban açık kaynaklı ve ücretsizdir. Topluluk desteğiyle geliştirildiği için farklı konfigürasyon örnekleri Spiceworks ve GitHub gibi platformlarda paylaşılmaktadır.
Ban süresini nasıl değiştirebilirim?
config.json dosyasında bantime parametresiyle sabit süreyi tanımlayabilir veya dinamik ban süresi için Spiceworks’te paylaşılan rastgeleleştirme betiğini kullanabilirsiniz.
Wail2ban loglarını Zabbix veya başka monitoring sistemine aktarabilir miyim?
Evet. Log dosyaları dışa aktarılabilir ve Zabbix, Graylog, ELK gibi monitoring araçlarına entegre edilerek saldırı trendleri görselleştirilebilir. Bunun bir örneğini “Zabbix Dashboard ile Proxmox Sanallaştırma İzleme” yazımızda ele aldık.
Windows Defender zaten brute-force saldırılarını engellemiyor mu?
Defender temel koruma sunsa da gelişmiş brute-force senaryolarında yetersiz kalabilir. Wail2ban ise hatalı giriş denemelerini sürekli analiz ederek proaktif bir şekilde IP’leri bloklar ve daha dinamik bir güvenlik sağlar.