monsterx
Goto Top

SBS 2003 - Etliche fehlgeschlagene Login-Versuche aus dem Internet

Hallo,

Wir arbeiten hier mit einem Windows SBS 2003 Standard Edition (also ohne ISA-Server). Darauf laufen einige Dienste, die auch von extern erreichbar sein sollen. So beispielsweise OWA, FTP und RDP. Über den Serverleistungsbericht werden in letzter Zeit regelmäßig fehlgeschlagene Anmeldungen angezeigt:

Quelle: Security
Ereigniskennung: 529
Letztes Vorkommen: 12.09.2007 01:36
Vorkommnisse insgesamt: 7.040 *

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: administrator
Domäne: 89.59.123.254
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: VCHTDFSE
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 61.152.116.86
Quellport: 2555

Dabei variieren die verwendeten Benutzernamen öfters mal (z.B WINS-BENUTZER). Im Prinzip ist es das selbe Problem wie im Thread
Zuviele Zugriffe auf Windows2003Server
Was löst diese Login-Versuche aus? Gibt es da Bots im Netz, die automatisch versuchen sich an irgendwelchen Rechnern mit diversen Passwörter anzumelden? Wie kann man das unterbinden oder wenigstens einschränken? Über 7000 Login-Versuche sind schon eine Menge. Besteht die Möglichkeit die erneute Anmeldung von einer IP-Adresse aus zu verzögern nach einem mißglückten Login-Versuch? Oder gibt es andere Möglichkeiten?

Dass ich die Ports zumachen könnte, weiß ich auch. Das ist aber nicht Zweck der Übung, da die Dienste dahinter auch vom Internet aus gebraucht werden.

Content-Key: 68451

Url: https://administrator.de/contentid/68451

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: DerBiba
DerBiba 12.09.2007 um 08:29:09 Uhr
Goto Top
Hallo Dennis,

die wohl häufigste Variante dieser Loginversuche ist in der Sparte der Scriptkiddies zu suchen. Es gibt verschiedene, fertige Scripts zum download die sich Kiddies auf ihre Rechner basteln und dann einfach laufen lassen. Beruht häufigst auf der Möglichkeit, standardisierte Passworte zu verwenden. Daher ist es für dich wichtig, in jedem Fall wirklich sichere Passworte zu verwenden (zB. die sogenannte Satz-Variante). Damit sicherst du dich schon mal ordentlich ab.

Trotzdem bleiben die lästigen Protokolleinträge, die man zB. durch ein selbst geschriebenes Script unterbinden kann, welches jede IP für 24h blockt, die mehr als 8 Fehlversuche beim Login hatte...

Biba
Mitglied: MonsterX
MonsterX 12.09.2007 um 09:36:03 Uhr
Goto Top
Danke für die schnelle Antwort.

Sichere Passwörter haben wir. Das sollte nicht das Problem sein. Trotzdem besteht immer mal die Möglichkeit, dass jemand nach x Versuchen ein gutes Passwort errät. Deshalb möchte ich es eben unterbinden, dass viele Passwörter ausprobiert werden können.

Skripte selber ist theoretisch kein Problem für mich, jedoch habe ich da gerade ein zeitliches Problem. Wo setzt man da denn am Besten an? Reicht ein VB-Script oder sogar eine Batch? Wo trägt man dann die zu blockende IP ein?
Oder alternativ: Kann mir jemand ein solches fertiges Script empfehlen? Muss ja auch nicht ganz fertig sein, aber eine Grundlage würde mir schon sehr viel Zeit sparen.
Mitglied: aqui
aqui 12.09.2007 um 11:19:09 Uhr
Goto Top
Es wäre einmal interessant gewesen zu erfahren wie du diesen Server ans Internet angebunden hast.
Anhand deiner oberflächlichen Beschreibung kann man nur vermuten das du den Server direkt über ein dummes DSL Modem und keinen Router am Internet hast.
Das wäre sträflicher Leichtsinn einen Windows Rechner direkt so im Internet zu exponieren und das auch noch unter Aktivierung der Windows internen Funktionen.

Sowas ist im Zeitalter von Routern die es mittlerweile für 20 Euro im Baumarkt gibt völlig unverständlich und zeugt eingentlich von einem recht sorglosen Umgang mit der Sicherheit oder schlicht und einfach von Unwissen !
Mit einem Router zwischen Server und Internet würde es technisch erst gar nicht zu solchen Login Angriffen kommen können, da dies durch die NAT Firewall eines Router sicher unterbunden wird !!!

Man kann dir also nur raten schnellstens deine Infrastruktur anzupassen an eine sichere Lösung des Internet Zuganges.
Mitglied: MonsterX
MonsterX 12.09.2007 um 11:58:52 Uhr
Goto Top
@aqui: Der Server ist über einen Router per NAT ans Internet angebunden. Aber das ist ja nicht die Thematik. Der Server soll per RDP aus dem Internet erreichbar sein und das ist er auch. Ebenso sind weitere Dienste wie FTP und OWA aus dem Internet erreichbar. Das soll einfach so sein. Natürlich hängt der Server nicht direkt am Netz, so dass wahllos auf alles zugegriffen werden kann.

Das Thema ist einfach wie ich solche Brute-Force-Attacken auf die von mir angebotenen, aus dem Internet erreichbaren Dienste unterbinden bzw. einschränken kann. Dafür ist das kurzzeitige Blocken von IPs nach x fehlerhaften Logins schon mal ein guter Ansatz. Aktuell sind meine Fragen folgende:

1) Wie realisiere ich solch ein Skript am Besten? (Ansätze, Beispiele, fertige Programme, ...)
2) Gibt es noch weitere Möglichkeiten solche Attacken einzuschränken?

Beste Grüße,
Denis
Mitglied: aqui
aqui 12.09.2007 um 12:19:41 Uhr
Goto Top
Auch da wäre es besser gewesen sich vorher Gedanken zu machen und einen aktiven VPN Router wie z.B. die von Draytek zu verwenden und dann ganz normal einen PPTP VPN Dialin auf diesen Router zu machen und dann über diesen Link die RDP Session auszuführen.
Damit musst du dann nicht offen Windows Applikationen im Internet exponieren...was immer eine mehr als zweifelhafte Lösung ist und es dann nicht verwunderlich ist das solche offenen MS Applikationen Spielkinder anlocken.
Diese Router kosten meist nur einen Bruchteil mehr als dumme nicht VPN fähige Router bieten aber erheblich mir Zugangssicherheit für solche Dienste wie du sie remoten benutzern zur Verfügung stellst.
Du versuchst nun an den Symtomen rumzudoktern aber die Ursache beseitigst du damit nicht, wie gesagt das schafft sicher nur ein aktiver VPN Router oder das VPN Dialin auf deinem Server aber dafür müsstest du dann wieder Löcher in deinen vorhandenen Router bohren.... face-sad
Mitglied: DerBiba
DerBiba 12.09.2007 um 12:20:33 Uhr
Goto Top
Nun, wir haben hier eine auf Debian basierende Firewall. Dort wurde ein Script implementiert, das die Häufigkeit von Aufrufen eines Dienstes/IP in einem festen Zeitfenster prüft.

In der Praxis schaut das so aus: Ruft von extern mehr als 8x innerhalb von 6000 Sekunden jemand einen Dienst an einer IP auf, wird die anfragende IP für 24h auf die Blacklist gesetzt und alles von dieser IP geblockt. Die IP's werden mit einem Timestamp nach Unixtime in ein simples ASCII File geschrieben. Datenbank ist bei der unsrigen Menge nicht notwendig.

Ein Cronjob alle 15 Minuten sorgt dafür, das der Eintrag anschliessend automatisch gelöscht wird.

Wir nutzen allerdings nicht den Win-FTP, sondern auf einer dedizierten Maschine einen seperaten FTP. Dieser ermöglicht zusätzlich noch das blocken nach mehrfachen fehlerhaften Loginversuchen.

An dieser Stelle möchte ich doch auch noch mal kurz auf die Unsicherheit des FTP-Protokolls auf einem Win-Server kommen. SFTP oder FTPS, also sicherheitsrelevante Verschlüsselung bei Authentifizierung als auch bei der Datenübertragung, sollte ebenso wie sichere Passworte ein Standard sein.

Da wäre dann evtl. der Filezilla-Server für dich ein guter Lösungsansatz, der, soweit ich auf dem laufenden bin, ebenfalls bei mehrfachen Loginversuchen die IP sperren kann.

Kannst ihn dir ja mal anschauen, er ist kostenlos und wirklich nett gemacht:
http://www.filezilla.de/download.htm

Biba

PS: Die Scripte unserer Firewall kann ich dir allerdings leider nicht zur Verfügung stellen. Gemäß unserer Securitygiuidlines hätte ich nicht mal die Kernelbasis sagen dürfen...
Mitglied: MonsterX
MonsterX 12.09.2007 um 13:41:19 Uhr
Goto Top
@aqui: Den Standard-Router durch einen VPN-Router zu ersetzen wäre noch eine gute Idee. So könnte man den RDP einfach schützen.

@biba: Danke für deine Ausführung. Da es sich um ein sehr kleines Unternehmen handelt, steht nur ein Server zur Verfügung. Man könnte darauf aber eine VM laufen lassen, die als Firewall fungiert und im Prinzip dein Szenario verwirklicht.
Als FTP benutzen wir schon den FileZilla-Server. Das Problem ist eigentlich nur der RDP-Login, welcher den anfänglich beschriebenen Event-Eintrag generiert.

Ich dachte eventuell an eine Windows-interne Lösung, so dass Anmeldungen von einer bestimmten IP-Adresse schon von Grund auf abgeleht werden, sobald sie zu oft scheitern.