¿Que buena idea me has dado.....
Gracias MsTech.DotNet

Ya esta, probar esto:
http://www.musicatotal.es.vg
Meter un par de nombres o password incorrectos, ya vereis.

Lo he hecho con una sesion que se incrementa cada vez que fallas el logeo.
<%session("intentos")=session("intentos")+1%>

Y en todas las paginas compruebo el status.
<%if session("intentos")=>2 then response.redirect("blocked.asp") end if%>