Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie versuchte logins durch fremde Eindringlinge abwehren?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: ctietje

ctietje (Level 1) - Jetzt verbinden

03.10.2013, aktualisiert 06.05.2015, 3598 Aufrufe, 3 Kommentare

Hallo liebe Serveradministratoren,

ich habe eine Frage, die mich schon einige Zeit beschäftigt. Wir haben einen Microsoft Server (SBS) für unser Büro, selbstverständlich mit Internetanbindung. Wir erleben immer wieder in unregelmäßigen Abständen login-Versuche von außen durch Fremde, die nicht zu unserem Netzwerk gehören, wie üblich im Ereignisprotokoll verzeichnet und täglich als Serverbericht an den Administrator gesendet. Häufig werden wechselnde Standardnamen, meistens englische Vornamen wie Tim, Mike oder Susan verwendet, manchmal auch serverintegrierte Konten wie Gast, Administrator oder FTPUser. Die Loginversuche finden mehrere 100 Male nacheinander statt. Dann wieder wochenlang gar keiner.

Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen. Kann man fremde User ganz aussperren? Damit ist zwar nicht gelöst, dass sich jemand mit brute-force-Attacken versucht einzuwählen, wenn er einen login-Namen kennt oder zufällig findet. Aber alle anderen ungewollten würde ich schon gern nach vergeblichen Versuchen aussperren. Nicht nötig zu erwähnen, dass wir entsprechend komplizierte Passwörter verwenden und die öfter ändern.

Christian Tietje, Dipl.-Ing. (FH)
Mitglied: Lochkartenstanzer
03.10.2013, aktualisiert um 17:00 Uhr
Zitat von ctietje:
... selbstverständlich mit Internetanbindung.

Das ist gar nicht so selbstverständllich. Wie ist denn die Anbindung gemacht. Mit dem nackten Arsch im netz, sprich eigene IP für die Maschine oder per exposed Host oder per Portweiterleitung? warum überhaupt. Das einzige was man braucht ist nur smtp udn selbst das kann man vermeiden.


Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen.

Indem man das Anmelden aus deim Internet unterbindet und nur per VPN erlaubt.

lks
Bitte warten ..
Mitglied: aqui
03.10.2013, aktualisiert 04.10.2013
Na ja die Grundlage für diese Angriffe hat der TO ja selber gelegt. Ein bischen blauäugig wie man sich gerade als Dipl.Ing. dann noch in einem Forum darüber wundert.
Diese Angriffe können ja nur passieren weil jemand willentlich ein Loch in die bestehenden Router Firewall gebohrt hat und dort ein Port Forwarding auf die lokale IP des Servers eingerichtet hat.
Vermutlich aus Bequemlichkeit um via RDP oder was auch immer von extern auf den Server zugreifen zu können.
Jeder weiss das spätestens solche öffentlich IP Adressen nach max. 7 Sekunden durch Port Scanner erkannt werden und Angriffe drauf stattfinden. Das ist alltäglich an einem Internet Anschluss und muss eigentlich niemanden groß wundern.
Genau deshalb macht man ja KEIN Port Forwarding und schaltet das Pingen (ICMP) und schon gar das Websetup oder Telnet des Routers am WAN/Internet Port zwingend aus. Obs dann wasserdicht ist kann man z.B, mit dem Heise Routercheck genau überprüfen:
http://www.heise.de/security/dienste/portscan/test/go.shtml ("Router")

Eine ziemlich fahrlässige Methode und aus Sicherheitssicht gerade bei einem anfälligen Windows OS ein NoGo aber vermutlich habt ihr nur eine Würstchenbude und da ists dann egal weil Sicherheit da ja nicht so die Rolle spielt ?!
Fazit: Mit den eigens gesetzten und gelebten Sicherheitsanforderungen durch das gedankenlose PFW musst du mit diesen Angriffen leben und sie ertragen...wie sollte man es denn auch sonst unterbinden unter den Vorausetzungen ?

Verantwortungsvolle Netzwerker nutzen immer einen VPN Router oder Firewall (nein, damit ist kein dummer Speedport oder "EasyBox" oder andere Billig Provider Hardware usw. gemeint !) auf denen sich die remoten Benutzer authentisieren um auf das interne Netzwerk zuzugreifen. Der Server bleibt dann damit vollständig hinter der Router Firewall abgeschottet und der Zugriff geschieht auch sicher und verschlüsselt und nur von denen die das auch dürfen. Der Rest der Toms, Susans und Peters aus Russland, Rumänien oder China wird vollständig blockiert !
Wie man sowas mit kleinen Mitteln unkompliziert umsetzt beschreiben diverse Tutorials hier im Forum:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und auch
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
usw. usw.
VPN ist heute gängige Commodity durch die aktuellen Sicherheits Diskussionen und lernt jeder Azubi im ersten Lehrjahr und hätte eigentlich nicht eines Forums Threads bedarft !
Es hat auch nicht wirklich was mit Serveradministration zu tun ?!
Oder war das jetzt ein "Dipl. Ing. Troll Thread" um hier einen Feiertag Security Storm im Forum zu starten, denn Ernst kann man die Frage eigentlich nicht wirklich nehmen in einem Adminstrator Forum ?! Gerade weil sie von (scheinbar) fachkompetenter Ing. Seite gestellt wird ?!
Bitte warten ..
Mitglied: transocean
LÖSUNG 03.10.2013, aktualisiert 06.05.2015
Moin,

wie meine Vorredner schon erwähnt haben, solltest Du den Connect zum SBS besser via VPN ermöglichen, das Du auf einem Router oder einer FW terminierst.
Und wenn Du es ganz sicher haben willst, integrierst Du den Netzwerkzugriffsschutz NAP, der beim SBS ja ohnehin mit an Bord ist.
Verwende IPsec VPN zusammen mit Zertifikaten. Dann bist Du auf der sicheren Seite.

Gruß

Uwe
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

Viren und Trojaner
Backup-Strategie: Krankenhaus konnte Ransomware-Angriff abwehren

Link von runasservice zum Thema Viren und Trojaner ...

Linux
gelöst Druck auf "Fremde" IP (17)

Frage von OSelbeck zum Thema Linux ...

DNS
gelöst Fremde Lokale Server im DNS-Server (5)

Frage von flyingmichael zum Thema DNS ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...