57263
Goto Top

Wie versuchte logins durch fremde Eindringlinge abwehren?

Hallo liebe Serveradministratoren,

ich habe eine Frage, die mich schon einige Zeit beschäftigt. Wir haben einen Microsoft Server (SBS) für unser Büro, selbstverständlich mit Internetanbindung. Wir erleben immer wieder in unregelmäßigen Abständen login-Versuche von außen durch Fremde, die nicht zu unserem Netzwerk gehören, wie üblich im Ereignisprotokoll verzeichnet und täglich als Serverbericht an den Administrator gesendet. Häufig werden wechselnde Standardnamen, meistens englische Vornamen wie Tim, Mike oder Susan verwendet, manchmal auch serverintegrierte Konten wie Gast, Administrator oder FTPUser. Die Loginversuche finden mehrere 100 Male nacheinander statt. Dann wieder wochenlang gar keiner.

Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen. Kann man fremde User ganz aussperren? Damit ist zwar nicht gelöst, dass sich jemand mit brute-force-Attacken versucht einzuwählen, wenn er einen login-Namen kennt oder zufällig findet. Aber alle anderen ungewollten würde ich schon gern nach vergeblichen Versuchen aussperren. Nicht nötig zu erwähnen, dass wir entsprechend komplizierte Passwörter verwenden und die öfter ändern.

Christian Tietje, Dipl.-Ing. (FH)

Content-Key: 218453

Url: https://administrator.de/contentid/218453

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 03.10.2013 aktualisiert um 17:00:55 Uhr
Goto Top
Zitat von @57263:
... selbstverständlich mit Internetanbindung.

Das ist gar nicht so selbstverständllich. Wie ist denn die Anbindung gemacht. Mit dem nackten Arsch im netz, sprich eigene IP für die Maschine oder per exposed Host oder per Portweiterleitung? warum überhaupt. Das einzige was man braucht ist nur smtp udn selbst das kann man vermeiden.


Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen.

Indem man das Anmelden aus deim Internet unterbindet und nur per VPN erlaubt.

lks
Mitglied: aqui
aqui 03.10.2013, aktualisiert am 04.10.2013 um 10:34:03 Uhr
Goto Top
Na ja die Grundlage für diese Angriffe hat der TO ja selber gelegt. Ein bischen blauäugig wie man sich gerade als Dipl.Ing. dann noch in einem Forum darüber wundert.
Diese Angriffe können ja nur passieren weil jemand willentlich ein Loch in die bestehenden Router Firewall gebohrt hat und dort ein Port Forwarding auf die lokale IP des Servers eingerichtet hat.
Vermutlich aus Bequemlichkeit um via RDP oder was auch immer von extern auf den Server zugreifen zu können.
Jeder weiss das spätestens solche öffentlich IP Adressen nach max. 7 Sekunden durch Port Scanner erkannt werden und Angriffe drauf stattfinden. Das ist alltäglich an einem Internet Anschluss und muss eigentlich niemanden groß wundern.
Genau deshalb macht man ja KEIN Port Forwarding und schaltet das Pingen (ICMP) und schon gar das Websetup oder Telnet des Routers am WAN/Internet Port zwingend aus. Obs dann wasserdicht ist kann man z.B, mit dem Heise Routercheck genau überprüfen:
http://www.heise.de/security/dienste/portscan/test/go.shtml ("Router")

Eine ziemlich fahrlässige Methode und aus Sicherheitssicht gerade bei einem anfälligen Windows OS ein NoGo aber vermutlich habt ihr nur eine Würstchenbude und da ists dann egal weil Sicherheit da ja nicht so die Rolle spielt ?!
Fazit: Mit den eigens gesetzten und gelebten Sicherheitsanforderungen durch das gedankenlose PFW musst du mit diesen Angriffen leben und sie ertragen...wie sollte man es denn auch sonst unterbinden unter den Vorausetzungen ?

Verantwortungsvolle Netzwerker nutzen immer einen VPN Router oder Firewall (nein, damit ist kein dummer Speedport oder "EasyBox" oder andere Billig Provider Hardware usw. gemeint !) auf denen sich die remoten Benutzer authentisieren um auf das interne Netzwerk zuzugreifen. Der Server bleibt dann damit vollständig hinter der Router Firewall abgeschottet und der Zugriff geschieht auch sicher und verschlüsselt und nur von denen die das auch dürfen. Der Rest der Toms, Susans und Peters aus Russland, Rumänien oder China wird vollständig blockiert !
Wie man sowas mit kleinen Mitteln unkompliziert umsetzt beschreiben diverse Tutorials hier im Forum:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und auch
VPNs einrichten mit PPTP
usw. usw.
VPN ist heute gängige Commodity durch die aktuellen Sicherheits Diskussionen und lernt jeder Azubi im ersten Lehrjahr und hätte eigentlich nicht eines Forums Threads bedarft !
Es hat auch nicht wirklich was mit Serveradministration zu tun ?!
Oder war das jetzt ein "Dipl. Ing. Troll Thread" um hier einen Feiertag Security Storm im Forum zu starten, denn Ernst kann man die Frage eigentlich nicht wirklich nehmen in einem Adminstrator Forum ?! Gerade weil sie von (scheinbar) fachkompetenter Ing. Seite gestellt wird ?!
Mitglied: transocean
Lösung transocean 03.10.2013, aktualisiert am 06.05.2015 um 20:52:55 Uhr
Goto Top
Moin,

wie meine Vorredner schon erwähnt haben, solltest Du den Connect zum SBS besser via VPN ermöglichen, das Du auf einem Router oder einer FW terminierst.
Und wenn Du es ganz sicher haben willst, integrierst Du den Netzwerkzugriffsschutz NAP, der beim SBS ja ohnehin mit an Bord ist.
Verwende IPsec VPN zusammen mit Zertifikaten. Dann bist Du auf der sicheren Seite.

Gruß

Uwe