Attacke auf 2003 sbs 2229 versuche
Attacken eines Benutzerkontos via Internet
Hallo,
ich hab folgendes Problem:
Seit einiger Zeit wird versucht, via RWW auf ein Konto zuzugreifen.
da es dieses konto gibt (Aktiver Benutzername) wurde es mit 2229 fehlgeschlagenen Login versuchen auf das Konto zuzugreifen. Angreifer hatte kein erfolg!!
Die enstsprechende Person, konnte mir versichern, das er nicht sein Kenwort falscheigegeben hat.
Und nu zu den Fragen:
Kann man zurückverfolgen, via IP adresse, wer versucht hatte, sich zugriff zu verschaffen??? Wir haben eine Feste IP
Und wie kann ich es verhindern, das weiterhin versucht wird, das konto zu hacken.
Was könnt ihr mir an Tipps und Empfehlungen geben???
Server Hat zwei NIC´s, eine Fürs Internet, und eine für intern. Firewall auf Server und Router Aktiv.
Danke im voraus.
Hallo,
ich hab folgendes Problem:
Seit einiger Zeit wird versucht, via RWW auf ein Konto zuzugreifen.
da es dieses konto gibt (Aktiver Benutzername) wurde es mit 2229 fehlgeschlagenen Login versuchen auf das Konto zuzugreifen. Angreifer hatte kein erfolg!!
Die enstsprechende Person, konnte mir versichern, das er nicht sein Kenwort falscheigegeben hat.
Und nu zu den Fragen:
Kann man zurückverfolgen, via IP adresse, wer versucht hatte, sich zugriff zu verschaffen??? Wir haben eine Feste IP
Und wie kann ich es verhindern, das weiterhin versucht wird, das konto zu hacken.
Was könnt ihr mir an Tipps und Empfehlungen geben???
Server Hat zwei NIC´s, eine Fürs Internet, und eine für intern. Firewall auf Server und Router Aktiv.
Danke im voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 141678
Url: https://administrator.de/contentid/141678
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
10 Kommentare
Neuester Kommentar
Was hast du für einen Router davor?
Am besten wäre VPN Verbindung. Router als VPN Server, mit entsprechenden Einstellungen für Passwortfehler. Das IP bei 5 Fehler 24h geblockt wird. Kommt immer auf das Modell an. Darum schreib mal, was du da hast.
Sich direkt auf dem Server anzumelden ist heutzutage dank VPN kein muß. Würde ich auch im Großteil aller Szenarien so ablehnen. Firewall an sich hilft wenig. Pauschal muss ja genau der Traffic der zum Login benötigt wird durchgelassen werden. Man könnte nur bei festen, externen IPs diese in der FW eintragen und damit Login Versuche von anderen Quellen unterbinden. Bei dynamischen muss der Prozess automatisch ablaufen. Unter Linux gibt es ein DenyHost Tool, was nach 5 Fehlern IP blacklistet. Leider im Moment kein Plan, wie es bei 2003 mit Bordmitteln zu realisieren ist.
mfg Crusher
Am besten wäre VPN Verbindung. Router als VPN Server, mit entsprechenden Einstellungen für Passwortfehler. Das IP bei 5 Fehler 24h geblockt wird. Kommt immer auf das Modell an. Darum schreib mal, was du da hast.
Sich direkt auf dem Server anzumelden ist heutzutage dank VPN kein muß. Würde ich auch im Großteil aller Szenarien so ablehnen. Firewall an sich hilft wenig. Pauschal muss ja genau der Traffic der zum Login benötigt wird durchgelassen werden. Man könnte nur bei festen, externen IPs diese in der FW eintragen und damit Login Versuche von anderen Quellen unterbinden. Bei dynamischen muss der Prozess automatisch ablaufen. Unter Linux gibt es ein DenyHost Tool, was nach 5 Fehlern IP blacklistet. Leider im Moment kein Plan, wie es bei 2003 mit Bordmitteln zu realisieren ist.
mfg Crusher
Man kann auch per Gruppenrichtlinie oder lokaler Sicherheitsrichtlinie unter W2003 eine Beschränkung der Anmeldeversuche erreichen, nach X Versuchen den Zugang dieses Kontos für X Stunden sperren und auch die Zeit zwischen den möglichen Versuchen beschränken, dodaß nicht mehr 5 Milliarden Versuche pro Sekunde möglich sind ;)
Das es mehrere Lösungen gibt und du noch nix damit zu tuhen hattes,t habe ich einen Artikel für dich.
Linux als Firewall mit IP-Tables
Vom Prinzip her kannst du jede Distribution nehmen. Wir haben Debian. Wenn du dich mit Netzwerken auskennst ist die Konfiguration kein Problem.
Gruß
omma
p.s es gibt auch schon fertige Firewall Linuxe ^^ wo du nur noch das Script anpassen musst. Weis aber leider nicht welches so angesagt ist im Moment.
Linux als Firewall mit IP-Tables
Vom Prinzip her kannst du jede Distribution nehmen. Wir haben Debian. Wenn du dich mit Netzwerken auskennst ist die Konfiguration kein Problem.
Gruß
omma
p.s es gibt auch schon fertige Firewall Linuxe ^^ wo du nur noch das Script anpassen musst. Weis aber leider nicht welches so angesagt ist im Moment.
Kostenlose Linux Distributionen.
www.ipcop.org
www.m0n0.ch
Beide arbeiten mit iptables und bieten ein Webfrontend. Gibt auch zahlreiche Anleitungen zu versch. Szenarien im Netz. Die Hardwareanforderungen sind auch eher minimal. Normale x86 Systeme können dafür rangezogen werden. Nachteile sind dann unter Umständen hoher Stromverbrauch, Platzbedarf, ... Statt Desktop Rechner kann man dann aber auf Thin Clients, o.ä. ausweichen. Es müssen aber min. 2x getrennte Schnitstellen für LAN und WAN vorhanden sein.
Kostenlose-/ Kommerzielle Lösungen:
www.mikrotik.com - RouterOS
Wahlweise nur Software oder auch Hardware Bundle - ähnlich SoHo-Lösungen. Setzt einiges an Wissen voraus - Routing, Firewall, ... Konfiguration über Tool oder Konsole. Command Line Interface erlaubt nur genauen Syntax. Vervollständigt aber einzelne Behle/ Values, so dass man schnell zum Ziel kommt. Vgl. CLIs von Cisco oder Fortinet.
Kostenlos mit eingeschränkten Funktionsumfang und ohne Hardware.
Business-Router:
Z.B. von Bintec oder Fortinet. Teilweise hohe Anschaffungskosten. Dafür aber z.B. kostenlose Aktualisierung von Signaturen, etc. Fortinets Fortigate bietet policy based Firewall und Routing. Setzt ebenfalls einiges an Erfahrung voraus. Konfiguration über Webinterface oder Konsole. Eigenständige CLI Sprachen.
Die kostenlosen Linux Distributionen können aber in vielen Bereichen locker mithalten. Kommen auch für ein ernsthaftes Firewall Konzept in Betracht. Wird z.B. VPN benötigt, bietet sich direkt Verbindungen mit dem WAN (Modem) an. Man kann sie aber auch mit vorhandenen Routern kombinieren, wobei sich allerdings der Konfigurationsaufwand erhöht. Zudem bieten viele Billig Router nur ein eingschränktes Routing. Man kann ein Transfernetz zwischen ISP-Router und LInux-Distri aufbauen. Wobei das meist nur bei Business Anschlüssen mit dedizerter Hardware Sinn macht. Bestehende Router können auch einfach zum Modem "kastriert" werden. Das minimiert wiederum Konfigurationsaufwand und schließt viele Fehler aus.
mfg Crusher
www.ipcop.org
www.m0n0.ch
Beide arbeiten mit iptables und bieten ein Webfrontend. Gibt auch zahlreiche Anleitungen zu versch. Szenarien im Netz. Die Hardwareanforderungen sind auch eher minimal. Normale x86 Systeme können dafür rangezogen werden. Nachteile sind dann unter Umständen hoher Stromverbrauch, Platzbedarf, ... Statt Desktop Rechner kann man dann aber auf Thin Clients, o.ä. ausweichen. Es müssen aber min. 2x getrennte Schnitstellen für LAN und WAN vorhanden sein.
Kostenlose-/ Kommerzielle Lösungen:
www.mikrotik.com - RouterOS
Wahlweise nur Software oder auch Hardware Bundle - ähnlich SoHo-Lösungen. Setzt einiges an Wissen voraus - Routing, Firewall, ... Konfiguration über Tool oder Konsole. Command Line Interface erlaubt nur genauen Syntax. Vervollständigt aber einzelne Behle/ Values, so dass man schnell zum Ziel kommt. Vgl. CLIs von Cisco oder Fortinet.
Kostenlos mit eingeschränkten Funktionsumfang und ohne Hardware.
Business-Router:
Z.B. von Bintec oder Fortinet. Teilweise hohe Anschaffungskosten. Dafür aber z.B. kostenlose Aktualisierung von Signaturen, etc. Fortinets Fortigate bietet policy based Firewall und Routing. Setzt ebenfalls einiges an Erfahrung voraus. Konfiguration über Webinterface oder Konsole. Eigenständige CLI Sprachen.
Die kostenlosen Linux Distributionen können aber in vielen Bereichen locker mithalten. Kommen auch für ein ernsthaftes Firewall Konzept in Betracht. Wird z.B. VPN benötigt, bietet sich direkt Verbindungen mit dem WAN (Modem) an. Man kann sie aber auch mit vorhandenen Routern kombinieren, wobei sich allerdings der Konfigurationsaufwand erhöht. Zudem bieten viele Billig Router nur ein eingschränktes Routing. Man kann ein Transfernetz zwischen ISP-Router und LInux-Distri aufbauen. Wobei das meist nur bei Business Anschlüssen mit dedizerter Hardware Sinn macht. Bestehende Router können auch einfach zum Modem "kastriert" werden. Das minimiert wiederum Konfigurationsaufwand und schließt viele Fehler aus.
mfg Crusher