Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Extrem viele Fehlüberwachungen Fehlgeschlagene Anmedung auf Proxy, DSL mit fester IP

Frage Sicherheit Erkennung und -Abwehr

Mitglied: maddoc

maddoc (Level 2) - Jetzt verbinden

01.08.2013, aktualisiert 00:54 Uhr, 2468 Aufrufe, 7 Kommentare

Hi Leute.

Seit einigen Tagen fällt immer unser Proxy Server aus. Nach einem Neustart gehts dann wieder. Im Sicherheits - Log finde ich dann immer jede Menge fehlgeschlagene Anmeldungen. Diese sehen so aus

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: 123
Domäne: meineDomäne
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: ProxyPcName

Dabei ändert sich der Benutzername öfters. Name der Arbeitstation ist die vom Proxy selber.

Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund. Windows Firewall ist angeschalten. Überlege mir die Comodo drauf zu machen.

Was kann ich unternehmen oder wie würdet ihr vorgehen? Problem ist auch der Router hat ne feste IP Aderesse.

Zum Aufbau.

Keller Fritzbox 192.168.178.xxx
Oben Proxy (WinXP mit Ken) 192.168.178.xxx + 10.0.6.xxx
Dahinter ein DNS und ein Backupserver 10.0.6.xxx
Ebenfalls dahinter viele Clients 10.0.22.xxx

Gruß Maddoc
Mitglied: benpunkt
01.08.2013 um 08:05 Uhr
Hi Maddoc,

das sieht schon nach Angriffsversuchen aus. Ich hatte mal ähnliche Probleme bei einem Terminaldienst, der nach aussen hin offen war. Jeden Tag kamen dort ca. 1000 Anmeldeversuche rein. Das viel mir auf, weil sich unser Backup-Dienstkonto jede Nacht gesperrt hatte (mehr als 10 Versuche in kurzer Zeit)

Problematisch sind jedoch nicht die fehlgeschlagenen Anmeldeversuche, sondern die erfolgreichen.

Meine kurfristige Lösung damals bestand darin, die Quell-IP Adressen in der Firewall zu sperren.

Später dann haben wir eine zwei Faktor Authentifizierung eingeführt für die Mitarbeiter und den Terminaldienst nicht mehr von aussen zugänglich gemacht.

Welche Dienste hast Du nach Außen hin offen? Kannst Du die Möglichkeit der Anmeldung auch nach Außen hin unterbinden? Eventuell VPN voraussetzen?

Grüße

Ben.

PS: die Anmeldeversuche erklären noch nicht, warum der Server ausfällt, es sei den, es wird gezielt ein DoS gefahren und der Server kann die vielen Anfragen nicht mehr abarbeiten. Hast Du ein Monitoring der Serverleistung?
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013 um 08:41 Uhr
Zitat von maddoc:
Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund.

Für mich auf, aber was soll ein virenscanner auf dem proxy da machen, wenn der verbindungsaufbau doch legitim ist (auch wenn die authentifizierung klappt).

Windows Firewall ist angeschalten.
Überlege mir die Comodo drauf zu machen.

Das bringt auf dem proxy gar nichts, weil doffensichtlich die verbindung auf den proxy erlaubt ist.

du solltest lieber einen sniffer wie z.B. wireshark laufen lassen, um zu schauen, woher diese anmeldeversuche kommen.

lks
Bitte warten ..
Mitglied: Cthluhu
01.08.2013 um 10:25 Uhr
Hi,

Willkommen im Internet. Sobald ein Dienst nach außen verfügbar ist, wirst du mit BruteForce-Anmeldeversuchen konfrontiert sein. Es gibt genug neugierige Scriptkiddies die einfach mal ein "paar" (üblicherweise gleich mal 100e oder 1000e) Username/Passwort Kombinationen ausprobieren. Abhilfe gibt es da keine wirkliche. Mit sicheren Passwörtern und aktuell gepatchter Software sollte das jedoch nur wenig Probleme machen. Wenn dir die Log-Einträge zu viel werden, ändere den Standartport.

mfg

Cthluhu
Bitte warten ..
Mitglied: maddoc
01.08.2013 um 10:56 Uhr
Hi Leute,

die Virenscanner hatte ich laufen da die Anmeldung von der Maschine selber kommen und ich evl an einen Trojaner etc dachte. Das mit der IP ist eine Idee aber im besten falle bekommt das Scriptkiddie jeden Tag ne neue vom DSL Anbieter. Passwörter sind relativ sicher, aber so nach 1000 versuchen steigt der Proxy immer aus. Nach außen Hin ist auch nur ein Port offen. Port 3389, alle anderen verdächtigen sind geschlossen. Wireshark ist ne Idee, aber mit netstat hatte ich letztens nichts entdecken können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP geöffnet ..
Bitte warten ..
Mitglied: benpunkt
01.08.2013, aktualisiert um 12:56 Uhr
Frage: wieso muss ein Proxy den Port 3389 in Richtung Internet offen haben?

Wenn Du keinen unternehmenswichtigen Dienst (also für die Mitarbeiter) nach draußen breitstellen musst, dann mache doch 3389 zu! Du als Admin kannst doch die Möglichkeit nutzen, ein VPN etc vorher aufzubauen.
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013 um 11:39 Uhr
Zitat von maddoc:
Nach außen Hin ist auch nur ein Port offen. Port
3389, alle anderen verdächtigen sind geschlossen.

Das ist nicht gut. RDP-Sitzungen macht man normalerweise mit VPN. Oder benutzt du zertifikate zur Authentifikation bei RDP?

Wireshark ist ne Idee, aber mit netstat hatte ich letztens nichts entdecken
können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP
geöffnet ..

UPnP ist ein no-go. Damit bohrt Dir jeder kleine Wurm sofort ein Loch in Deinen schönen Router. Mach manuell die Ports auf, die Du unbedingt brauchst udn wo Du kein VPN verwenden kannst.

lks
Bitte warten ..
Mitglied: maddoc
01.08.2013 um 22:58 Uhr
Kanns nicht sagen warum der Port offen war. War von meinem Vorgänger. Wird eh nicht mehr verwendet da nun Teamviewer läuft. habe ihn zugemacht und gucke da, seit dem ist ruhe. Will aber den Tag nicht vor dem Abend loben, erstmal sehen was heute nacht so abgeht. Meistens waren die Angriffe zu nächtlicher Stunde. Den anderen Port habe ich auch geschlossen. War zu einer IP weitergeleitet die gar nicht existierte, zumindest nicht an war..

Danke euch allen, schauen wir mal wie es weiter geht..

Gruß Maddoc
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Aus dem Heimnetzwerk (Fritzbox) auf VNC Server mit fester IP-Adresse zugreifen? (3)

Frage von BigL15 zum Thema LAN, WAN, Wireless ...

Linux Netzwerk
gelöst Squid3 Proxy via Namen statt Ip im Browser eintragen (3)

Frage von M.Marz zum Thema Linux Netzwerk ...

Netzwerkmanagement
DHCP vergibt PROXY-IP?! (18)

Frage von Fiasko zum Thema Netzwerkmanagement ...

Router & Routing
gelöst CISCO C886VAJ-K9 an einem Telekom Annex J DSL 16000 RAM IP Anschluss (16)

Frage von nik-me zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...