Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie versuchte logins durch fremde Eindringlinge abwehren?

Mitglied: ctietje

ctietje (Level 1) - Jetzt verbinden

03.10.2013, aktualisiert 06.05.2015, 4044 Aufrufe, 3 Kommentare

Hallo liebe Serveradministratoren,

ich habe eine Frage, die mich schon einige Zeit beschäftigt. Wir haben einen Microsoft Server (SBS) für unser Büro, selbstverständlich mit Internetanbindung. Wir erleben immer wieder in unregelmäßigen Abständen login-Versuche von außen durch Fremde, die nicht zu unserem Netzwerk gehören, wie üblich im Ereignisprotokoll verzeichnet und täglich als Serverbericht an den Administrator gesendet. Häufig werden wechselnde Standardnamen, meistens englische Vornamen wie Tim, Mike oder Susan verwendet, manchmal auch serverintegrierte Konten wie Gast, Administrator oder FTPUser. Die Loginversuche finden mehrere 100 Male nacheinander statt. Dann wieder wochenlang gar keiner.

Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen. Kann man fremde User ganz aussperren? Damit ist zwar nicht gelöst, dass sich jemand mit brute-force-Attacken versucht einzuwählen, wenn er einen login-Namen kennt oder zufällig findet. Aber alle anderen ungewollten würde ich schon gern nach vergeblichen Versuchen aussperren. Nicht nötig zu erwähnen, dass wir entsprechend komplizierte Passwörter verwenden und die öfter ändern.

Christian Tietje, Dipl.-Ing. (FH)
Mitglied: Lochkartenstanzer
03.10.2013, aktualisiert um 17:00 Uhr
Zitat von ctietje:
... selbstverständlich mit Internetanbindung.

Das ist gar nicht so selbstverständllich. Wie ist denn die Anbindung gemacht. Mit dem nackten Arsch im netz, sprich eigene IP für die Maschine oder per exposed Host oder per Portweiterleitung? warum überhaupt. Das einzige was man braucht ist nur smtp udn selbst das kann man vermeiden.


Wie kann man verhindern, dass sich User, die nicht zum Bestand der bekannten User zählen, mehrmals versuchen einzuloggen.

Indem man das Anmelden aus deim Internet unterbindet und nur per VPN erlaubt.

lks
Bitte warten ..
Mitglied: aqui
03.10.2013, aktualisiert 04.10.2013
Na ja die Grundlage für diese Angriffe hat der TO ja selber gelegt. Ein bischen blauäugig wie man sich gerade als Dipl.Ing. dann noch in einem Forum darüber wundert.
Diese Angriffe können ja nur passieren weil jemand willentlich ein Loch in die bestehenden Router Firewall gebohrt hat und dort ein Port Forwarding auf die lokale IP des Servers eingerichtet hat.
Vermutlich aus Bequemlichkeit um via RDP oder was auch immer von extern auf den Server zugreifen zu können.
Jeder weiss das spätestens solche öffentlich IP Adressen nach max. 7 Sekunden durch Port Scanner erkannt werden und Angriffe drauf stattfinden. Das ist alltäglich an einem Internet Anschluss und muss eigentlich niemanden groß wundern.
Genau deshalb macht man ja KEIN Port Forwarding und schaltet das Pingen (ICMP) und schon gar das Websetup oder Telnet des Routers am WAN/Internet Port zwingend aus. Obs dann wasserdicht ist kann man z.B, mit dem Heise Routercheck genau überprüfen:
http://www.heise.de/security/dienste/portscan/test/go.shtml ("Router")

Eine ziemlich fahrlässige Methode und aus Sicherheitssicht gerade bei einem anfälligen Windows OS ein NoGo aber vermutlich habt ihr nur eine Würstchenbude und da ists dann egal weil Sicherheit da ja nicht so die Rolle spielt ?!
Fazit: Mit den eigens gesetzten und gelebten Sicherheitsanforderungen durch das gedankenlose PFW musst du mit diesen Angriffen leben und sie ertragen...wie sollte man es denn auch sonst unterbinden unter den Vorausetzungen ?

Verantwortungsvolle Netzwerker nutzen immer einen VPN Router oder Firewall (nein, damit ist kein dummer Speedport oder "EasyBox" oder andere Billig Provider Hardware usw. gemeint !) auf denen sich die remoten Benutzer authentisieren um auf das interne Netzwerk zuzugreifen. Der Server bleibt dann damit vollständig hinter der Router Firewall abgeschottet und der Zugriff geschieht auch sicher und verschlüsselt und nur von denen die das auch dürfen. Der Rest der Toms, Susans und Peters aus Russland, Rumänien oder China wird vollständig blockiert !
Wie man sowas mit kleinen Mitteln unkompliziert umsetzt beschreiben diverse Tutorials hier im Forum:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und auch
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
usw. usw.
VPN ist heute gängige Commodity durch die aktuellen Sicherheits Diskussionen und lernt jeder Azubi im ersten Lehrjahr und hätte eigentlich nicht eines Forums Threads bedarft !
Es hat auch nicht wirklich was mit Serveradministration zu tun ?!
Oder war das jetzt ein "Dipl. Ing. Troll Thread" um hier einen Feiertag Security Storm im Forum zu starten, denn Ernst kann man die Frage eigentlich nicht wirklich nehmen in einem Adminstrator Forum ?! Gerade weil sie von (scheinbar) fachkompetenter Ing. Seite gestellt wird ?!
Bitte warten ..
Mitglied: transocean
LÖSUNG 03.10.2013, aktualisiert 06.05.2015
Moin,

wie meine Vorredner schon erwähnt haben, solltest Du den Connect zum SBS besser via VPN ermöglichen, das Du auf einem Router oder einer FW terminierst.
Und wenn Du es ganz sicher haben willst, integrierst Du den Netzwerkzugriffsschutz NAP, der beim SBS ja ohnehin mit an Bord ist.
Verwende IPsec VPN zusammen mit Zertifikaten. Dann bist Du auf der sicheren Seite.

Gruß

Uwe
Bitte warten ..
Ähnliche Inhalte
Linux

Postfix Prüfungen für SPAM Abwehr

gelöst Frage von robotto86Linux10 Kommentare

Hallo Leute, ich habe mir gerade einen zweiten Postfix als Relay in der DMZ aufgebaut. Dieser mit wie der ...

Erkennung und -Abwehr

Sicherheit: Erkennung und Abwehr

Frage von solardriftwoodErkennung und -Abwehr9 Kommentare

Hallo alle zusammen! Frage zu arp-spoofing Beim eingeben von "arp -a" in der Windows-Eingabeaufforderung, die ich als Admin ausgeführt ...

E-Mail

Links in Emails gehen manchmal fremd

gelöst Frage von nippon-tussiE-Mail5 Kommentare

Hallo! Wir verschicken seit Jahren Links zu downloadbaren ZIP-Dateien an unsere Kunden per E-Mail. Die Links sind alle individuell ...

Windows Netzwerk

Client Versucht SSL Verbindung (ausschalten)

Frage von BananenmeisterWindows Netzwerk5 Kommentare

Hallo Zusammen, Ich habe einen Computer mit SQL Server 2014 Express und einem Programm (Drittanbieter) welches eine Verbindung zu ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 1 TagHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 2 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 5 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 6 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid25 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore24 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Ubuntu
Installation freerdp 2.0.0-rc4
Frage von kristovUbuntu20 Kommentare

Hallo, möchte freerdp 2.0.0-rc4 auf linux mint 18.3 installieren, habe aber keine Ahnung, wie das funktioniert. freerdp 1.1 ist ...