bernie2909
Goto Top

Attacke auf 2003 sbs 2229 versuche

Attacken eines Benutzerkontos via Internet

Hallo,

ich hab folgendes Problem:

Seit einiger Zeit wird versucht, via RWW auf ein Konto zuzugreifen.

da es dieses konto gibt (Aktiver Benutzername) wurde es mit 2229 fehlgeschlagenen Login versuchen auf das Konto zuzugreifen. Angreifer hatte kein erfolg!!

Die enstsprechende Person, konnte mir versichern, das er nicht sein Kenwort falscheigegeben hat.

Und nu zu den Fragen:

Kann man zurückverfolgen, via IP adresse, wer versucht hatte, sich zugriff zu verschaffen??? Wir haben eine Feste IP

Und wie kann ich es verhindern, das weiterhin versucht wird, das konto zu hacken.

Was könnt ihr mir an Tipps und Empfehlungen geben???

Server Hat zwei NIC´s, eine Fürs Internet, und eine für intern. Firewall auf Server und Router Aktiv.

Danke im voraus.

Content-ID: 141678

Url: https://administrator.de/contentid/141678

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

Crusher79
Crusher79 28.04.2010 um 19:52:36 Uhr
Goto Top
Was hast du für einen Router davor?

Am besten wäre VPN Verbindung. Router als VPN Server, mit entsprechenden Einstellungen für Passwortfehler. Das IP bei 5 Fehler 24h geblockt wird. Kommt immer auf das Modell an. Darum schreib mal, was du da hast.

Sich direkt auf dem Server anzumelden ist heutzutage dank VPN kein muß. Würde ich auch im Großteil aller Szenarien so ablehnen. Firewall an sich hilft wenig. Pauschal muss ja genau der Traffic der zum Login benötigt wird durchgelassen werden. Man könnte nur bei festen, externen IPs diese in der FW eintragen und damit Login Versuche von anderen Quellen unterbinden. Bei dynamischen muss der Prozess automatisch ablaufen. Unter Linux gibt es ein DenyHost Tool, was nach 5 Fehlern IP blacklistet. Leider im Moment kein Plan, wie es bei 2003 mit Bordmitteln zu realisieren ist.

mfg Crusher
bernie2909
bernie2909 28.04.2010 um 20:54:52 Uhr
Goto Top
Hi,

also Router ist ne T-com Eumex 300, password fehler sind keine Aktiv, also keine Sperrung des Kontos nach X anmeldeversuchen. VPN bertaff es nicht,und nutzen wir auch nicht. sondern eher Der Remote Web Arbeitsplatz, da er darauf sich mit einer Ws im Büro eine TS sitzung aufbauen kann, und an die Daten rankommt. Der Anmelde Bildschirm vom 2003 SBS, und da ich vermute das ein Ex Mitarbeiter seine Finger dran hat, und versucht dem Unternehmen zu schaden. oik, das mit der Festen Ip Filterung könnte schwierig sein, da Aussendienst Mitarbeiter von Kunden aus darauf zugreifen, und diese Dynamisch ist.

Ich meinte mal gehört zu haben von Monowall, Honigtopf, der Angreifer abfängt. Bin momentan etwas dadurch durch den Wind, da einige Sensibele Daten darauf liegen.

Es geht auch darum Den Exmitarbeiter es eventuell nachzuweisen, das er Versucht das Jonto zu Kna**en, Da die Benutzernamen ja sonst keiner wissen kann.

Gruß
Bernie2909
RedRabbit
RedRabbit 28.04.2010 um 21:11:57 Uhr
Goto Top
Man kann auch per Gruppenrichtlinie oder lokaler Sicherheitsrichtlinie unter W2003 eine Beschränkung der Anmeldeversuche erreichen, nach X Versuchen den Zugang dieses Kontos für X Stunden sperren und auch die Zeit zwischen den möglichen Versuchen beschränken, dodaß nicht mehr 5 Milliarden Versuche pro Sekunde möglich sind ;)
bernie2909
bernie2909 29.04.2010 um 06:06:51 Uhr
Goto Top
Ok, werd ich auch via GPO machen.

Gruß
grandma
grandma 29.04.2010 um 08:50:59 Uhr
Goto Top
Wenn das aber öfter vorkommt , würde ich mir über eine Linux Firewall Gedanken machen. Auf der nix weiter läuft, als das FW Script. Das war nur ein Angriff auf ein Konto. Wer weis was sich der Angreifer noch einfallen lässt.

Gruß
omma
bernie2909
bernie2909 29.04.2010 um 09:25:54 Uhr
Goto Top
Ok, da ich mehr Windows und fast gar nicht mit Linux zu tun hatte. Welches Firewall istam Effektifsten.

Nein Angreifer Benutze auch zb.

Mail, webmaster, root, iuser etc.

Gruß
grandma
grandma 29.04.2010 um 09:36:50 Uhr
Goto Top
Das es mehrere Lösungen gibt und du noch nix damit zu tuhen hattes,t habe ich einen Artikel für dich.

Linux als Firewall mit IP-Tables

Vom Prinzip her kannst du jede Distribution nehmen. Wir haben Debian. Wenn du dich mit Netzwerken auskennst ist die Konfiguration kein Problem.

Gruß
omma

p.s es gibt auch schon fertige Firewall Linuxe ^^ wo du nur noch das Script anpassen musst. Weis aber leider nicht welches so angesagt ist im Moment.
bernie2909
bernie2909 29.04.2010 um 09:59:35 Uhr
Goto Top
Ok, dank dir, werd mich maldirekt damit auseinander setzen.

Gruß
Crusher79
Crusher79 29.04.2010 um 14:04:54 Uhr
Goto Top
Kostenlose Linux Distributionen.
www.ipcop.org
www.m0n0.ch

Beide arbeiten mit iptables und bieten ein Webfrontend. Gibt auch zahlreiche Anleitungen zu versch. Szenarien im Netz. Die Hardwareanforderungen sind auch eher minimal. Normale x86 Systeme können dafür rangezogen werden. Nachteile sind dann unter Umständen hoher Stromverbrauch, Platzbedarf, ... Statt Desktop Rechner kann man dann aber auf Thin Clients, o.ä. ausweichen. Es müssen aber min. 2x getrennte Schnitstellen für LAN und WAN vorhanden sein.

Kostenlose-/ Kommerzielle Lösungen:
www.mikrotik.com - RouterOS

Wahlweise nur Software oder auch Hardware Bundle - ähnlich SoHo-Lösungen. Setzt einiges an Wissen voraus - Routing, Firewall, ... Konfiguration über Tool oder Konsole. Command Line Interface erlaubt nur genauen Syntax. Vervollständigt aber einzelne Behle/ Values, so dass man schnell zum Ziel kommt. Vgl. CLIs von Cisco oder Fortinet.

Kostenlos mit eingeschränkten Funktionsumfang und ohne Hardware.


Business-Router:
Z.B. von Bintec oder Fortinet. Teilweise hohe Anschaffungskosten. Dafür aber z.B. kostenlose Aktualisierung von Signaturen, etc. Fortinets Fortigate bietet policy based Firewall und Routing. Setzt ebenfalls einiges an Erfahrung voraus. Konfiguration über Webinterface oder Konsole. Eigenständige CLI Sprachen.


Die kostenlosen Linux Distributionen können aber in vielen Bereichen locker mithalten. Kommen auch für ein ernsthaftes Firewall Konzept in Betracht. Wird z.B. VPN benötigt, bietet sich direkt Verbindungen mit dem WAN (Modem) an. Man kann sie aber auch mit vorhandenen Routern kombinieren, wobei sich allerdings der Konfigurationsaufwand erhöht. Zudem bieten viele Billig Router nur ein eingschränktes Routing. Man kann ein Transfernetz zwischen ISP-Router und LInux-Distri aufbauen. Wobei das meist nur bei Business Anschlüssen mit dedizerter Hardware Sinn macht. Bestehende Router können auch einfach zum Modem "kastriert" werden. Das minimiert wiederum Konfigurationsaufwand und schließt viele Fehler aus.

mfg Crusher
bernie2909
bernie2909 29.04.2010 um 14:33:16 Uhr
Goto Top
Danke, werde ein Monowall und ipcop ausprobieren. und werde euch Mitteilen, wie die Attacken weiterhin Bestehen

Gruß

Bernie2909