Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie versuchte logins durch fremde Eindringlinge abwehren?

Mitglied: ctietje

ctietje (Level 1) - Jetzt verbinden

03.10.2013, aktualisiert 06.05.2015, 3960 Aufrufe, 3 Kommentare

Hallo liebe Serveradministratoren,

ich habe eine Frage, die mich schon einige Zeit beschäftigt. Wir haben einen Microsoft Server (SBS) für unser Büro, selbstverständlich mit Internetanbindung. Wir erleben immer wieder in unregelmäßigen Abständen login-Versuche von außen durch Fremde, die nicht zu unserem Netzwerk gehören, wie üblich im Ereignisprotokoll verzeichnet und täglich als Serverbericht an den Administrator gesendet. Häufig werden wechselnde Standardnamen, meistens englische Vornamen wie Tim, Mike oder Susan verwendet, manchmal auch serverintegrierte Konten wie Gast, Administrator oder FTPUser. Die Loginversuche finden mehrere 100 Male nacheinander statt. Dann wieder wochenlang gar keiner.

Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen. Kann man fremde User ganz aussperren? Damit ist zwar nicht gelöst, dass sich jemand mit brute-force-Attacken versucht einzuwählen, wenn er einen login-Namen kennt oder zufällig findet. Aber alle anderen ungewollten würde ich schon gern nach vergeblichen Versuchen aussperren. Nicht nötig zu erwähnen, dass wir entsprechend komplizierte Passwörter verwenden und die öfter ändern.

Christian Tietje, Dipl.-Ing. (FH)
Mitglied: Lochkartenstanzer
03.10.2013, aktualisiert um 17:00 Uhr
Zitat von ctietje:
... selbstverständlich mit Internetanbindung.

Das ist gar nicht so selbstverständllich. Wie ist denn die Anbindung gemacht. Mit dem nackten Arsch im netz, sprich eigene IP für die Maschine oder per exposed Host oder per Portweiterleitung? warum überhaupt. Das einzige was man braucht ist nur smtp udn selbst das kann man vermeiden.


Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen.

Indem man das Anmelden aus deim Internet unterbindet und nur per VPN erlaubt.

lks
Bitte warten ..
Mitglied: aqui
03.10.2013, aktualisiert 04.10.2013
Na ja die Grundlage für diese Angriffe hat der TO ja selber gelegt. Ein bischen blauäugig wie man sich gerade als Dipl.Ing. dann noch in einem Forum darüber wundert.
Diese Angriffe können ja nur passieren weil jemand willentlich ein Loch in die bestehenden Router Firewall gebohrt hat und dort ein Port Forwarding auf die lokale IP des Servers eingerichtet hat.
Vermutlich aus Bequemlichkeit um via RDP oder was auch immer von extern auf den Server zugreifen zu können.
Jeder weiss das spätestens solche öffentlich IP Adressen nach max. 7 Sekunden durch Port Scanner erkannt werden und Angriffe drauf stattfinden. Das ist alltäglich an einem Internet Anschluss und muss eigentlich niemanden groß wundern.
Genau deshalb macht man ja KEIN Port Forwarding und schaltet das Pingen (ICMP) und schon gar das Websetup oder Telnet des Routers am WAN/Internet Port zwingend aus. Obs dann wasserdicht ist kann man z.B, mit dem Heise Routercheck genau überprüfen:
http://www.heise.de/security/dienste/portscan/test/go.shtml ("Router")

Eine ziemlich fahrlässige Methode und aus Sicherheitssicht gerade bei einem anfälligen Windows OS ein NoGo aber vermutlich habt ihr nur eine Würstchenbude und da ists dann egal weil Sicherheit da ja nicht so die Rolle spielt ?!
Fazit: Mit den eigens gesetzten und gelebten Sicherheitsanforderungen durch das gedankenlose PFW musst du mit diesen Angriffen leben und sie ertragen...wie sollte man es denn auch sonst unterbinden unter den Vorausetzungen ?

Verantwortungsvolle Netzwerker nutzen immer einen VPN Router oder Firewall (nein, damit ist kein dummer Speedport oder "EasyBox" oder andere Billig Provider Hardware usw. gemeint !) auf denen sich die remoten Benutzer authentisieren um auf das interne Netzwerk zuzugreifen. Der Server bleibt dann damit vollständig hinter der Router Firewall abgeschottet und der Zugriff geschieht auch sicher und verschlüsselt und nur von denen die das auch dürfen. Der Rest der Toms, Susans und Peters aus Russland, Rumänien oder China wird vollständig blockiert !
Wie man sowas mit kleinen Mitteln unkompliziert umsetzt beschreiben diverse Tutorials hier im Forum:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und auch
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
usw. usw.
VPN ist heute gängige Commodity durch die aktuellen Sicherheits Diskussionen und lernt jeder Azubi im ersten Lehrjahr und hätte eigentlich nicht eines Forums Threads bedarft !
Es hat auch nicht wirklich was mit Serveradministration zu tun ?!
Oder war das jetzt ein "Dipl. Ing. Troll Thread" um hier einen Feiertag Security Storm im Forum zu starten, denn Ernst kann man die Frage eigentlich nicht wirklich nehmen in einem Adminstrator Forum ?! Gerade weil sie von (scheinbar) fachkompetenter Ing. Seite gestellt wird ?!
Bitte warten ..
Mitglied: transocean
LÖSUNG 03.10.2013, aktualisiert 06.05.2015
Moin,

wie meine Vorredner schon erwähnt haben, solltest Du den Connect zum SBS besser via VPN ermöglichen, das Du auf einem Router oder einer FW terminierst.
Und wenn Du es ganz sicher haben willst, integrierst Du den Netzwerkzugriffsschutz NAP, der beim SBS ja ohnehin mit an Bord ist.
Verwende IPsec VPN zusammen mit Zertifikaten. Dann bist Du auf der sicheren Seite.

Gruß

Uwe
Bitte warten ..
Ähnliche Inhalte
Windows Server

Domain Controller: Login als fremder Nutzer

Frage von MimemmmWindows Server13 Kommentare

Bei nem DC ist es ja grundsätzlich so, dass man für jeden Mitarbeiter einen Nutzer-Account im DC anlegt, der ...

Linux

Postfix Prüfungen für SPAM Abwehr

gelöst Frage von robotto86Linux10 Kommentare

Hallo Leute, ich habe mir gerade einen zweiten Postfix als Relay in der DMZ aufgebaut. Dieser mit wie der ...

Erkennung und -Abwehr

Sicherheit: Erkennung und Abwehr

Frage von solardriftwoodErkennung und -Abwehr9 Kommentare

Hallo alle zusammen! Frage zu arp-spoofing Beim eingeben von "arp -a" in der Windows-Eingabeaufforderung, die ich als Admin ausgeführt ...

ISDN & Analoganschlüsse

Abwehr von automatischen Telemarketinganrufen - Menscherkennung am Telefon

gelöst Frage von beidermachtvongreyscullISDN & Analoganschlüsse5 Kommentare

Guten Tag zusammen, es gibt aus England sogenannte Callblocker-Geräte, die Funktionen wie "Code" und "Whisper" beherrschen, allerdings sind das ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing18 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...