Wie kann ich den Ursprung von Brute Force Login Attempts finden?

Hallo,

Das liegt daran das der Client eben nicht den Datenverkehr deines Server sehen kann. Ausser Broadcasts wird der nichts vom Server mitbekommen. Du hast bestimmt einen Switch in dein LAN und keinen HUB, daher wird dein Client niemals den Datenverkehr deines Servers sehen. Ein Swich verbindet eben immer nur 2 TCP/IP Rechner/Ports miteinander. Die anderen Ports sind so lange auf Pause. Nur da ein Switch sehr sehr sehr schnell Schaltet, scheint es so das jeder mit jedem....Eine HUB arbeitet da grundlegend anders und würde gehen (sofern du eine HUB tatsächlich noch hast)
Alternativ nutze einen Switch der auch PortMirroring kann, dann kannst du dir den Datenverkehr vom Server Port (am Swich) Speigeln lassen auf den port der per Kabel zu dein Rechner geht und kannst mithören. Wenn die Qualität nicht passt kann es allerdings vorkommen das der gespiegelte Datenverkehr nicht vollständig ankommt.

Gruß,
Peter

Wireshark auf Server könnte u. U. funktionieren. Ansonsten siehe Vorredner.

Hallo,

Ein Wireshark auf Server wird funktionieren. Es kommt halt drauf an was er wo will und welche Möglichkeiten ihm bleiben

Gruß,
Peter

Keine Firewall vor dem Server? Wenn ja welche, denn da gibt es Mittel und Wege dies dort drauf zu erledigen.

Moin,
Wireshark blockt nichts. WireShark protokolliert nur sämtlichen Traffic an der NIC mit, den diese mitbekommt.
Ferner: wie kann es sein, dass IPs aus Fernost "ungefiltert" bis zu deinem Server druchdringen?

Ist mal nicht auszuschließen!

Mal so eine bescheidene Frage: Du installierst dir eine Software und die fügt eine Regel in die vorgeschaltete Hardware-Firewall ein? Ich würde a) dieser Software nicht vertrauen und b) die Hardware-Firewall ersetzen

Öhm.. ich bekomme gerade immer mehr den Eindruck, dass dein Server für RDP mit dem nackten Ars.. im Netz steht und deine User nicht erst einen VPN-Tunnel aufbauen um sich dann via RDP am Server anzumelden!
Ganz ehrlich: Da bist du selbst schuld, wenn dir so viele Brute-Force Attacken wiederfahren!
Du hängst ja auch kein Schild am Ortseingang von München aus, auf dem steht: Mit dem passenden Schlüssel gibt es bei mir, in der Augustinerstraße 23, etwas zu holen. Kommt vorbei und probiert einfach mal all eure Schlüssel aus um bei mir rein zu kommen. Oder?
Du würdest ja nur gezielt den Leuten, denen du vertraust deine Adresse mitteilen!

Braucht vermutlich keine Socke. Eine gute Firewall zwischen WAN und LAN sowie ein passender Router und ein geeigneter VPN-Server (zumeist alles in einem Gerät untergebracht) reichen da völlig aus und sind viel sicherer, als eine Software, die eine Regel in eine Software-Firewall einfügt!? Wer weiss, was die noch an Informationen über diese neue Regel "bereitstellt"


Ebenso!

Gruß
em-pie

Hallo,

Wireshark kann keine IP blockeieren. Wiersahrkl kann nur aufschreiben.
Und wieso kommen Fernöstliche unbekannte nicht angeforderte IPs ohne Einladung überhaupt da hin? was machst du da?

Selbst eine IP pro 24 Stunden wäre schon zuviel. Wir gehen doch korrekt davon aus das dies hie einen Firmen DSL Anschluß Betrifft und kein selbstgebastelten C64 im Partykeller?

Möglich, und du bist jetzt Mitglied oder was willst du uns sagen?

RDP? Du meinst wirklich Remote Desktop Protokoll? Und die fügt einfach so eine refgell in einer hardware Firewall hinzu? Wie das? Und du traust deiner Firewall noch irgendetwas? Bei dir scheint alles Torangelweit offen zu stehen.

Rumgefrickel an den symptomen, nicht den Ursachen. Doc zum Patient: "So, hab dir einen guten Verband gemacht damit das Bluten aufhört. Patient: "Aber ich kann immer noch nicht in der Nase bohren!" Doc: "Klar du hast auch keine Arme mehr!"

Und du meinst du überlebst den nächsten Montag?

Immer noch zuviele.

ist auch nur Schlangenöl.

VPN zwingend von allen welche auf RDP zugreifen wollen.Ohne VPN kein Zugriff. RDP ohne VPN ist entweder tödlich, oder hast per VPN abgesichert oder mittels Direct Access. Ich glaube nicht das du Direct Access dort hast oder nutzt.
https://directaccess.richardhicks.com/2016/02/08/directaccess-vs-vpn/
https://de.wikipedia.org/wiki/DirectAccess
https://technet.microsoft.com/de-de/library/dd759144(v=ws.11).aspx
https://technet.microsoft.com/de-de/library/dd637797(v=ws.10).aspx

Und jetzt nachdem wir gemeckert haben, was soll denn genau von dir gemacht werden? Auslöser ist dein Event ID: 4625 (?) mit null sid status 0xc000006d? Erklär uns mal was du denn dort hast?

Gruß,
Peter

Herrlich, IPs mit Wireshark blocken.
Herrlich, ein öffentlich erreichbarer Windows-Server ohne Hardware-Firewall.
Herrlich, eine Software-Firewall noch dazu auf dem gleichen Windows-Server wird nun genutzt und EMPFOHLEN.
Bald ist der Server selber Teil eines Botnetzes.
Als Administrator/IT-Berater lt. Profil würde ich den Job wechseln - bevor ein anderer mich zwingt. Vielleicht gibt es das Lehrgeld zurück?!

Ab jetzt lese und amüsiere ich mich nur noch ...

Guten Abend, echte Kollegen!

Hallo,

Aber hoffentlich baut euer Dienstleister vorher einen VPN Tunnel auf. Das wäre dann wieder OK.

Selbst wenn du nur ab und zu mit dein Auto von einer 100 meter hohen Brücke fährst fällst, beim erstenmal bist du schon hin, Gurt hin oder her. Serlbst einmal ist schon einmal zuviel. Das kann dir die Firma kosten wenn (und jetzt sag nicht du bist nicht Kranken oder Unfall versichert)

Geschwindigkeit allein ist hier nicht nur von einer Up/Donload (sowohl bei dir als auch bei den anderen am entfernten ende) rate abhäng, hier kommen so sachen wie RAM CPUm IOs und Schreib/Leseraten der Festplatte(n) und RAID und weitere Server Hardware sowie auch die LAN Anbindung zur Datenbank welche Sage nutzt (da gibt es von Dateibasierend (Clasic Line) bis hin zu Oracle SQL alles) noch alle Hinzu. Etwas boshaft kann ma allerdings sagen "langsame hardeware = langsames Arbeiten, auch per RDP.

Eigentlich gibt es da keine Diskussion. Eine richtige Firewall ist immer in ein eigenes Blech. Eine Firewall ist ja immer, egal wie du es betrachtest, nur ein Stück Software. Und Siftware kann auch mak Fehler haben und wenn diese ausgenutzt werden ist evtl. gar die Firewall und das OS wo die läuft Komprimitiert. Kann genauso in Blech passieren, nur die chance in eine VM oder als reine Software Variante ist doch gößer das es passieren kann. Obwohl LEPRA als ausgestorben galt haben sich Menschen in verschiedene Länder damit Infiziert, auch wenn die Chance noch so klein war.
Es ist eine reine Risikoabwägung und ein Externer wird dir immer zu Blech raten, den er will und kann das Risiko für euch nicht tragen. Aber letztendlich entscheidet der Kunde, auch wenn er nicht weiß was er entscheidet.

In einem Lokalen LAN gesehen wo schon der Internetzugang selbst per Hardwarefirell geschützt wird, ja.

Den Hersteller fragen oder mitschnüffeln was die tut. Das dazu entsprechendes Fachwissen nötig ist ist unerlässlich, wenn nicht vorhanden dann Einkaufen oder selbst aneignen. Das kostet Geld - Si, schon bevor du dich mit einer Firewall auseinander setzen tust.

Sag das deinem Cheffe wenn die Bude Pleite ist und feststellt das die seine Sicherheit nicht wichtig war. Aber Zuhause schliesst du schon die Haustür ab wenn du dein Heim verlässt, gell?

Du musst immer sachen aus welcher Sichtweise und was damit erreicht werden soll es aufkommt das jemand z.B. sagt, hier reicht die OS eigene Firewall vollkommen aus.

Wenn 2 in eine Haiversuchten Gewässer Schwimmen gehen, fragt sich der eine, der welcker ein Kettenhemd trägt, warum habe ich bloss diesen Sch... angezogen, denn gefressen hat er mein Kumpel. Risikoabschätzung halt.

Gruß,
Peter

VPN-Zugang mit Spassworten??? Deine 12 Zeichen nutzen gar nichts, wenn schlecht gewählt. Ein 6er im Lotto haben manche mit "fast keinen" Versuchen gegenüber der Möglichkeiten - oder haben Anfängerglueck. Brute Forcer probieren auch nicht zufällig oder nur mit Wörterbüchern. Die kennen auch Schemata, welche viele Nutzer haben, z. B. billige Erweiterungen mit Ziffern vor oder nach Worten. Einen Passwortgenerator hast du für die Erzeugung der Spassworte wenigstens benutzt? Hilft aber auch nichts gegen"Anfängerglueck".

Stichwort Zertifikate!

OK...

Wie Pjordorf anmerkte:
Hoffentlich nutzt euer SAGE-Dienstleister erst einen VPN-Tunnel, um dann via RDP auf den Server zuzugreifen!
Denn du musst dir eines bewusst werden:
Ein VPN-Tunnel verschlüsselt zunächst mal den Traffic zwischen zwei Netzen/ Netzteilnehmern.
Dann verhält sich der Client gegenüber dem Netz nahezu so, als wäre er im LAN unterwegs.
Bedeutet: Ins WAN ist z.B der Port 3389 (RDP) geschlossen, für alle/ ausgewählte VPN-Verbindungen indes geöffnet, da nur der dann an den Server kommt, der den verschlüsselten VPN-Tunnel nutzt.

Und zur Performance:
Bauen eure Jungs (und Mädels) nur einen VPN-Tunnel auf und starten dann die SAGE-Maske oder verbinden die sich dan via RDP auf einen TerminalServer und starten dann SAGE? Das macht nämlich einen Unterschied:
Werden bei der RDP-Variante verinfacht gesagt komprimmierte Bilddaten übermittelt, wird bei der Variante ohne RDP der gesamte Datentraffic zwischen SAGE-Server und SAGE-Client übertragen... Das kann ja dann nur lahmarschig sein.
Und ein weiterer Faktor, den ihr prüfen solltet, insbesondere wenn VPN im Spiel ist: die MTU.Sioze in Richtung WAN...

Alles andere lasse ich mal unkommentiert so stehen. Zudem hat Pjordorf ja auch bereits etwas dazu gesagt
Eine Ergänzung jedoch:
Was machst du, wenn dein Windows-System sich einen Virus/ Trojaner eingefangen hat und die Windows-Firewall aushebelt und sich anschließend im gesamten Netz breit macht?

Bei einer dedizierten (Hardware-)Firewall ist das Risiko deutlich kleiner, da

• der Hersteller nur das auf dem System laufen lässt, was für den Betrieb der Firewall notwendig ist
• kein User auf dem System der FW arbeitet und versehentlich durch eine Mail einen schadhaften Link öffnet und Schadsoftware darauf ausführt
• die Firewalls in einer UTM-Lösung nicht nur Netzwerktraffic kontrollieren, sondern auch noch Features wie Proxy-Server nebst Contentfilter mitbringen.

In Summe also folgende Hinweise:

• Nehme dich zunächst der VPN-Thematik an und sieh zu, dass die Sache stabil und zügig läuft.
• Mache an der Firewall zwischen WAN und LAN den Port 3389 nach außen dicht
• Verdonnere alle dazu, dass SAGE (und/ oder andere Ressourcen) nur noch via VPN und RDP zu nutzen sind, auch für den SAGE-Dienstleister

Und schon können deine FReunde aus Nahost zwar weiterhin versuchen, sich per RDP an eurem Server anzumelden, werden aber vom Türsteher am WAN (eurer dedizierten Firewall) geblockt und deine LogIn-Versuche entfallen....

Weil WireShark mit protokolliert, oder die Daten am Switch mittels "Mirrored Port" an die Arbeitsstation mit dem
WireShark weitergegeben werden. In der Regel sind das auch viel mehr Loginversuche da werden wohl nur wenige
von "mitgelogged" weil das alles heute mittels Scripten automatisiert und viel schneller läuft als ein Mensch tippen
kann.

Kann sein muss aber nicht. Und wenn man eine Firewall oder gar zusätzlich IDS benutzt dann kann man das
auch schon auf der Firewall erledigen, einen MS Server direkt im Internet verfügbar zu machen ist da aber
auch nicht so das "ganz pralle Leben" und nicht erst seit gestern. Also ein Proxy Server dazwischen einer
Firewall und ein IDS wäre da schon dicke drinnen bei einer Firma sie SAGE benutzt.

Da Sicherheit immer eine Mehrstufige Sache ist "mag das zusätzlich" nicht verkehrt sein, nur dann bitte auch
zusätzlich zu einer Firewall und einem Proxy Server.

Glaubst Du denn das da jemand am WE nicht einbricht bei Euch, doer wie viele Leute arbeiten da bei Euch?
Gerade am WE sind alle außer Haus und niemand merkt etwas.

Ich fasse es nicht! Der Server ist immer noch via Internet erreichbar!? Mensch nimm den vom Netz oder besorge
Dir eine Firewall und lass alle anderen nur noch zum Arbeiten via VPN auf den Server.

und ich kann Dir nur eine pfSense Firewall mit Squid & SquidGuard, pfBlockerNG & DNSBL + TDL, Snort und IPSec
VPN empfehlen. Die ist mit einer Barebonelösung von Supermicro so stark dass sie alle Eure VPN Verbindungen
locker weg steckt und noch genügend Leistung hat für alle oben genannten Packete! Wenn Dir oder Euch die
öffentlichen IP Adressen zu teuer sind, dann ginge zur Not auch OpenVPN, nur dann lieber einen eigenen VPN
Server in die DMZ und gut ist es. CentOS, SoftEtherVPN und DenyHost oder Fail2ban sind hier dann das probate
Mittel um so etwas im Keime zu ersticken!

Das wäre bei mir oberstes Gebot dann muss nämlich kein Port mehr vorne am WAN geöffnet bleiben
und solche kleinen Exkursionen mittels Brute Force Attacken auf den Server gehören der Vergangenheit an.

- Server zu langsam
- Firewall zu langsam
- Zu viele Benutzer oder Firewall zu klein dimensioniert

Was steht denn bei Euch am WAN Interface? Ein Router oder eine Firewall oder nur das nackte Modem?
Ist bei Euch überhaupt Geld oder ein Budget vorhanden für die EDV?
Welches VPN benutzt Ihr denn bei Euch?
Wie viele Mitarbeiter benutzen denn VPN?

Selbst wenn nicht viel Geld für Hardware und Lizenzen vorhanden wären, dann aber bitte mit einer
OpenSource oder etwas von MikroTik so dass man das Netzwerk richtig absichern kann.

Firewall:
Software:

• pfSense, OPNSense, Endian, Sophos oder Untangle UTM

Hardware:

• Supermicro C2758 Board
• pfSense SG-4860 / SG-8860 / XG-2758
• Supermicro SuperServer E200-8D plus RAM & SSD
• Supermicro SuperServer E300-8D plus RAM & SSD

Router:

• MikroTik RB1100ahx4 plus zwei Bücher dazu ~400 Euro
• LANCOM 9100(+) VPN
• DrayTek Vigor3900

Hardware Firewalls:

• Sophos UTMs

Gruß
Dobby

schon mal ein erster Schritt in die richtige Richtung. Auch wenn TeamViewer hier und da (z.T.) zurecht in Frage gestellt wird, aber schon mal besser, als wenn der/ die Server direkt per RDP im Netz stehen.

Heißt das, dass eure Firewall des SBS euch vom weiten, bösen Internet trennt?

Sprich -> Monopol-TAE -> MODEM (kein Router, sondern ein Modem! Welches eigentlich?) -> SBS Port A -> SBS-Firewall nebst PPPoE -> SBS Port B -> LAN?

Warum postet ihr eure Mails nicht direkt bei Facebook (ist nicht gegen dich persönlich)? Eure Sicherheitspolitik ist mehr als nur Fragwürdig.
Wenn euer Chef nicht bereit ist, Kohle auszugeben, dan frag ihn mal, ob er seinen Audi R8-Spider auch des Nachts, mit offenem Verdeck auf einem abgelegenen Rastplatz abstellt!? Der wird dann "entwendet" und damit eine STraftat nach der anderen begangen. Gleiches für euren SBS. Der kann mal ganz schnell gekapert werden und dann für illegale Zwecke zweckentfremdet werden. Und wer hat den Hut auf? Richtig, dein Chef und dann du!

Ihr solltet euch zwingend mal einen externen Berater ins Haus holen, mit dem ihr die Thematik Firewall ansprecht.
Hier sollte dein Chef investieren. Denn wenn ihr euch einen Virus eingefangen habt, freuen sich die Viren/ Cryptrojaner sogar über mehr Rechenleistung, weil die dann noch schneller alles verschlüsseln können.

Und auf den ersten Blick betrachtet, scheint euer Server, obwohl es ein G6 ist, in Richtung Storage ja recht gut bestückt zu sein.
Wenn ihm das zu langsam ist, müsste man mal eher in Richtung Netzwerk schauen, oder die SAGE-Maske auf einem Terminal-Server laufen lassen, welcher dann wesentlich näher am SAGE-Server platziert ist und nicht 200x 100MBit-Hubs überwinden muss (Überspitzt gesagt)