Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Extrem viele Fehlüberwachungen Fehlgeschlagene Anmedung auf Proxy, DSL mit fester IP

Frage Sicherheit Erkennung und -Abwehr

Mitglied: maddoc

maddoc (Level 2) - Jetzt verbinden

01.08.2013, aktualisiert 00:54 Uhr, 2535 Aufrufe, 7 Kommentare

Hi Leute.

Seit einigen Tagen fällt immer unser Proxy Server aus. Nach einem Neustart gehts dann wieder. Im Sicherheits - Log finde ich dann immer jede Menge fehlgeschlagene Anmeldungen. Diese sehen so aus

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: 123
Domäne: meineDomäne
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: ProxyPcName

Dabei ändert sich der Benutzername öfters. Name der Arbeitstation ist die vom Proxy selber.

Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund. Windows Firewall ist angeschalten. Überlege mir die Comodo drauf zu machen.

Was kann ich unternehmen oder wie würdet ihr vorgehen? Problem ist auch der Router hat ne feste IP Aderesse.

Zum Aufbau.

Keller Fritzbox 192.168.178.xxx
Oben Proxy (WinXP mit Ken) 192.168.178.xxx + 10.0.6.xxx
Dahinter ein DNS und ein Backupserver 10.0.6.xxx
Ebenfalls dahinter viele Clients 10.0.22.xxx

Gruß Maddoc
Mitglied: benpunkt
01.08.2013 um 08:05 Uhr
Hi Maddoc,

das sieht schon nach Angriffsversuchen aus. Ich hatte mal ähnliche Probleme bei einem Terminaldienst, der nach aussen hin offen war. Jeden Tag kamen dort ca. 1000 Anmeldeversuche rein. Das viel mir auf, weil sich unser Backup-Dienstkonto jede Nacht gesperrt hatte (mehr als 10 Versuche in kurzer Zeit)

Problematisch sind jedoch nicht die fehlgeschlagenen Anmeldeversuche, sondern die erfolgreichen.

Meine kurfristige Lösung damals bestand darin, die Quell-IP Adressen in der Firewall zu sperren.

Später dann haben wir eine zwei Faktor Authentifizierung eingeführt für die Mitarbeiter und den Terminaldienst nicht mehr von aussen zugänglich gemacht.

Welche Dienste hast Du nach Außen hin offen? Kannst Du die Möglichkeit der Anmeldung auch nach Außen hin unterbinden? Eventuell VPN voraussetzen?

Grüße

Ben.

PS: die Anmeldeversuche erklären noch nicht, warum der Server ausfällt, es sei den, es wird gezielt ein DoS gefahren und der Server kann die vielen Anfragen nicht mehr abarbeiten. Hast Du ein Monitoring der Serverleistung?
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013 um 08:41 Uhr
Zitat von maddoc:
Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund.

Für mich auf, aber was soll ein virenscanner auf dem proxy da machen, wenn der verbindungsaufbau doch legitim ist (auch wenn die authentifizierung klappt).

Windows Firewall ist angeschalten.
Überlege mir die Comodo drauf zu machen.

Das bringt auf dem proxy gar nichts, weil doffensichtlich die verbindung auf den proxy erlaubt ist.

du solltest lieber einen sniffer wie z.B. wireshark laufen lassen, um zu schauen, woher diese anmeldeversuche kommen.

lks
Bitte warten ..
Mitglied: Cthluhu
01.08.2013 um 10:25 Uhr
Hi,

Willkommen im Internet. Sobald ein Dienst nach außen verfügbar ist, wirst du mit BruteForce-Anmeldeversuchen konfrontiert sein. Es gibt genug neugierige Scriptkiddies die einfach mal ein "paar" (üblicherweise gleich mal 100e oder 1000e) Username/Passwort Kombinationen ausprobieren. Abhilfe gibt es da keine wirkliche. Mit sicheren Passwörtern und aktuell gepatchter Software sollte das jedoch nur wenig Probleme machen. Wenn dir die Log-Einträge zu viel werden, ändere den Standartport.

mfg

Cthluhu
Bitte warten ..
Mitglied: maddoc
01.08.2013 um 10:56 Uhr
Hi Leute,

die Virenscanner hatte ich laufen da die Anmeldung von der Maschine selber kommen und ich evl an einen Trojaner etc dachte. Das mit der IP ist eine Idee aber im besten falle bekommt das Scriptkiddie jeden Tag ne neue vom DSL Anbieter. Passwörter sind relativ sicher, aber so nach 1000 versuchen steigt der Proxy immer aus. Nach außen Hin ist auch nur ein Port offen. Port 3389, alle anderen verdächtigen sind geschlossen. Wireshark ist ne Idee, aber mit netstat hatte ich letztens nichts entdecken können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP geöffnet ..
Bitte warten ..
Mitglied: benpunkt
01.08.2013, aktualisiert um 12:56 Uhr
Frage: wieso muss ein Proxy den Port 3389 in Richtung Internet offen haben?

Wenn Du keinen unternehmenswichtigen Dienst (also für die Mitarbeiter) nach draußen breitstellen musst, dann mache doch 3389 zu! Du als Admin kannst doch die Möglichkeit nutzen, ein VPN etc vorher aufzubauen.
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013 um 11:39 Uhr
Zitat von maddoc:
Nach außen Hin ist auch nur ein Port offen. Port
3389, alle anderen verdächtigen sind geschlossen.

Das ist nicht gut. RDP-Sitzungen macht man normalerweise mit VPN. Oder benutzt du zertifikate zur Authentifikation bei RDP?

Wireshark ist ne Idee, aber mit netstat hatte ich letztens nichts entdecken
können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP
geöffnet ..

UPnP ist ein no-go. Damit bohrt Dir jeder kleine Wurm sofort ein Loch in Deinen schönen Router. Mach manuell die Ports auf, die Du unbedingt brauchst udn wo Du kein VPN verwenden kannst.

lks
Bitte warten ..
Mitglied: maddoc
01.08.2013 um 22:58 Uhr
Kanns nicht sagen warum der Port offen war. War von meinem Vorgänger. Wird eh nicht mehr verwendet da nun Teamviewer läuft. habe ihn zugemacht und gucke da, seit dem ist ruhe. Will aber den Tag nicht vor dem Abend loben, erstmal sehen was heute nacht so abgeht. Meistens waren die Angriffe zu nächtlicher Stunde. Den anderen Port habe ich auch geschlossen. War zu einer IP weitergeleitet die gar nicht existierte, zumindest nicht an war..

Danke euch allen, schauen wir mal wie es weiter geht..

Gruß Maddoc
Bitte warten ..
Ähnliche Inhalte
Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

Firewall
gelöst PfSense Geräte mit fester IP anzeigen (5)

Frage von TimMayer zum Thema Firewall ...

LAN, WAN, Wireless
Zwei öffentliche feste IP-Adressen, Portforwarding (10)

Frage von Bytedreher zum Thema LAN, WAN, Wireless ...

Internet Domänen
gelöst 3 Server, ein Netz mit fest vergebenen IP-Adressen (14)

Frage von Frank-Krefeld zum Thema Internet Domänen ...

Neue Wissensbeiträge
Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Erkennung und -Abwehr

Ccleaner-Angriff war nur auf große Unternehmen gemünzt

(10)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Sicherheit

Eventuell neue Lücke in Intels ME

Information von sabines zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Humor (lol)
Freidach Beitrag (36)

Frage von Penny.Cilin zum Thema Humor (lol) ...

Windows 7
SSD - Win7 Lags (19)

Frage von ph5555 zum Thema Windows 7 ...