RDP, SMB, IIS ve Exchange gibi servisler, Windows sunucuların brute-force saldırılarında en sık hedef alınan bileşenleridir. Bu saldırıların temel amacı, ardışık hatalı parola denemeleri yaparak sisteme yetkisiz erişim elde etmektir. İşte bu noktada devreye Wail2ban girer. Windows ortamları için geliştirilen bu araç, Linux tarafında kullanılan Fail2ban mantığını benimser. Windows Event Log kayıtlarını sürekli izleyerek başarısız oturum açma girişimlerini tespit eder ve saldırıları engellemeye yardımcı olur.
Wail2ban Nedir?
Wail2ban, Windows sunucular üzerinde brute-force saldırılarını otomatik olarak engellemek için kullanılan açık kaynaklı bir güvenlik aracıdır. Log tabanlı çalışır. Sistem loglarını izler, başarısız giriş denemelerini sayar ve belirlenen limit aşıldığında saldırgan IP’yi otomatik olarak yasaklar.
Örneğin, kısa süre içinde aynı IP’den beşten fazla başarısız RDP giriş denemesi yapılması durumunda Wail2ban bu IP’yi tespit eder ve Windows Defender Firewall’a bir kural ekleyerek erişimini keser. Bu mekanizma sayesinde RDP, IIS, Exchange veya SMB servisleri brute-force saldırılarına karşı etkili bir şekilde korunur.
Wail2ban Kurulumu
Oldukça hafif bir güvenlik aracı olan Wail2ban, Windows sistemlerine hızlı şekilde entegre edilebilir. Yazılımı edinmek için resmi GitHub deposu veya topluluk tarafından yayınlanan paketler kullanılabilir.
>https://github.com/glasnt/wail2ban
İndirme ve Kurulum
Paketi C:\Program Files\Wail2ban\ dizinine çıkaralım. Yönetici olarak install-service.bat dosyasını çalıştırarak servisi Windows’a ekleyelim. Bu komut ile servis başlatılır ve arka planda çalışmaya başlar.
net start wail2banKonfigürasyon Dosyası
Linux’taki jail.local mantığına benzer şekilde, Wail2ban da config.json dosyası üzerinden yapılandırılır. Burada hangi servisin izleneceği, başarısız girişler için eşik değerleri ve ban süresi belirlenir.
{
"jails": [
{
"name": "RDP",
"eventlog": "Security",
"query": "4625",
"maxretry": 5,
"findtime": 600,
"bantime": 1800,
"action": "block"
}
]
}- eventlog → İzlenecek log kaynağı (Security).
- query → Windows Event ID (4625 = başarısız oturum açma denemesi).
- maxretry → Kaç başarısız girişten sonra IP engellenecek.
- findtime → Deneme sayısının hesaplanacağı süre (saniye).
- bantime → IP’nin engelli kalacağı süre (saniye).
Servisi Başlatma
net start wail2banServis, arka planda otomatik çalışarak logları analiz etmeye başlar.
Test Etme
Yanlış şifre ile birkaç kez RDP oturumu açmayı deneyelim. Tanımlanan eşik değerine ulaşıldığında, Wail2ban ilgili IP’yi Windows Firewall’a otomatik olarak ekleyerek engelleyecektir.
Wail2ban Loglarının İzlenmesi
Wail2ban, tıpkı Linux’taki Fail2ban gibi engelleme aksiyonlarını loglar.
Varsayılan log dosyası C:\Program Files\Wail2ban\logs\wail2ban.log dizininde bulunur.
2025-09-09 11:42:13 [RDP] Ban 192.168.1.100 after 5 failed attemptsBu loglardan hangi IP’lerin engellendiği ve hangi servisin hedef alındığı kolayca takip edilebilir. Ayrıca loglar merkezi izleme sistemlerine de aktarılabilir.
SNMP ve Monitoring Entegrasyonu
Wail2ban tek başına brute-force saldırılarını engeller; ancak saldırı yoğunluğunu ve saldırı trendlerini merkezi olarak görebilmek için monitoring çözümleri devreye girer. Özellikle Zabbix, Wail2ban loglarını toplayarak saldırı denemelerinin zaman içindeki dağılımını ve yoğunluğunu grafiklerle gösterebilir.
- Hangi IP aralıklarından saldırı geldiği,
- Hangi servislerin daha çok hedef alındığı,
- Saldırı yoğunluğunun gün ve saat bazlı değişimi dashboard üzerinden kolayca analiz edilebilir.
Hazırladığımız Zabbix Dashboard Kullanarak Proxmox Sanallaştırma İzleme yazısına göz atabilirsiniz.
Dinamik Ban Süresi
Sabit ban süresi kullanmak saldırganlar için tahmin edilebilir bir zafiyet oluşturabilir. Spiceworks topluluğunda paylaşılan şu PowerShell betiğiyle ban süreleri rastgeleleştirilerek bu sorun önlenebilir:
$randomizor = Get-Random -Minimum ([math]::pow(5,$Setting)*1) -Maximum ([math]::pow(5,$Setting)*60)
$BanDuration = [math]::min([math]::pow(5,$Setting)*60 + [int]$randomizor, $MAX_BANDURATION)Bu yöntem, her engellemede süreyi farklılaştırarak brute-force saldırılarının tekrar deneme zamanını tahmin edilemez hale getirir.
Ayrıntılar için; Spiceworks Wail2ban Tartışması.
Sık Sorulan Sorular
Wail2ban ile Fail2ban arasındaki fark nedir?
Fail2ban Linux sistemlerde çalışır ve iptables/nftables gibi araçlarla IP’leri engeller. Wail2ban ise Windows için geliştirilmiş benzer bir mantığa sahip çözümdür ve Event Log + Windows Firewall kullanarak IP’leri bloklar.
Wail2ban hangi servisleri korur?
En çok brute-force saldırılarının hedef aldığı RDP, SMB, IIS, Exchange ve FTP servislerini korur. Event Log üzerinden başarısız oturum açma denemelerini izleyerek IP’leri engeller.
Wail2ban ücretsiz mi?
Evet, Wail2ban açık kaynaklı ve ücretsizdir. Topluluk desteğiyle geliştirildiği için farklı konfigürasyon örnekleri Spiceworks ve GitHub gibi platformlarda paylaşılmaktadır.
Ban süresini nasıl değiştirebilirim?
config.json dosyasında bantime parametresiyle sabit süreyi tanımlayabilir veya dinamik ban süresi için Spiceworks’te paylaşılan rastgeleleştirme betiğini kullanabilirsiniz.
Wail2ban loglarını Zabbix veya başka monitoring sistemine aktarabilir miyim?
Evet. Log dosyaları dışa aktarılabilir ve Zabbix, Graylog, ELK gibi monitoring araçlarına entegre edilerek saldırı trendleri görselleştirilebilir. Bunun bir örneğini “Zabbix Dashboard ile Proxmox Sanallaştırma İzleme” yazımızda ele aldık.
Windows Defender zaten brute-force saldırılarını engellemiyor mu?
Defender temel koruma sunsa da gelişmiş brute-force senaryolarında yetersiz kalabilir. Wail2ban ise hatalı giriş denemelerini sürekli analiz ederek proaktif bir şekilde IP’leri bloklar ve daha dinamik bir güvenlik sağlar.