deadcandance 10 Geschrieben 10. Mai 2007 Melden Teilen Geschrieben 10. Mai 2007 Hi, wir haben einen MS FTP Server im Einsatz der in der DMZ steht und öffentl. erreichbar ist. Das ganze läuft auf Windows 2003 + SP2, ISA Server ist ebenfalls installiert, jedoch kenne ich mich mit ISA nicht wirklich gut aus. Jetzt wird natürlich permanent von Hackern versucht über irgendwelche MS Standardbenutzer wie Administrator oder andere Benutzernamen, die es nicht gibt, auf diesen Server zukommen. Zu sehen im Eventlog: The server was unable to logon the Windows NT account 'Administrator' due to the following error: Logon failure: unknown user name or bad password. The data is the error code. Sie kommen nicht drauf, soweit kein Problem, aber das Eventlog wird unübersichtlich und ich denke der Performance ist es ebenfalls abträglich. Gibt es eine Funktion, RegsitryKeys oder Tools mit denen man solche Angriffe automatisch blocken kann, indem man z. Bsp. so eine IP Adresse nach 5 Fehlversuchen blockiert? Oder das Versuche mit dem Benutzername 'Administrator' geblockt werden. Zitieren Link zu diesem Kommentar
51th 10 Geschrieben 10. Mai 2007 Melden Teilen Geschrieben 10. Mai 2007 Leider, beim MS FTP fehlt unter anderem auch Anti-Hammering Funktion... Zitieren Link zu diesem Kommentar
Johannes80 10 Geschrieben 10. Mai 2007 Melden Teilen Geschrieben 10. Mai 2007 ja ich hoffe du hast das lokale Administratorkonto umbenannt!? zu deiner Frage, also meiner Meinung nach ist das die Aufgabe der Firewall die vor dem FTP Server hängt! Mir wäre spontan auch kein Tool geläufig. Aber prinzipiell ist es ja nicht die Aufgabe des FTP sich vor Angriffen zu schützen sondern nur zu unterscheiden, ob der Benutzer den Dienst nutzen darf oder nicht. hth. Joe Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 10. Mai 2007 Autor Melden Teilen Geschrieben 10. Mai 2007 ja ich hoffe du hast das lokale Administratorkonto umbenannt!? Ja der Admin ist umbenannt. zu deiner Frage, also meiner Meinung nach ist das die Aufgabe der Firewall die vor dem FTP Server hängt! Mir wäre spontan auch kein Tool geläufig. Aber prinzipiell ist es ja nicht die Aufgabe des FTP sich vor Angriffen zu schützen sondern nur zu unterscheiden, ob der Benutzer den Dienst nutzen darf oder nicht. hth. Joe Das geht dann aber schon in Richtung Intrusion Detection / Prevention System, was in dem Fall wohl eher mit Kanonen auf Spatzen geschossen wäre. Es würde ja reichen wenn die IP geblockt wird, ähnlich wie bei Benutzern die bei x-maliger Falschanmeldung gesperrt werden. Hat jemand vielleciht schonmal etwas per Script gebastelt. Im event kann ich aber nicht mal die IP sehen. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 10. Mai 2007 Melden Teilen Geschrieben 10. Mai 2007 Hat jemand vielleciht schonmal etwas per Script gebastelt. Im event kann ich aber nicht mal die IP sehen. Im Event werden die auch nicht angzeigt, höchstens in den Protokolldateien, wenn du die Protokollierung aktiviert hast und die entsprechenden Parameter gesetzt sind. Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 10. Mai 2007 Autor Melden Teilen Geschrieben 10. Mai 2007 Die Protokollierung ist schon aktiviert, auch mit allen Optionen. Gibt es eigentlich ein Tool mit dem ich mir die aktiven FTP Session anschauen kann, ohne mich jedesmal in der IIS Console durchklicken zu müssen. oder kann man das Fenster "FTP User Sessions" direkt aufrufen? Zitieren Link zu diesem Kommentar
chappy 10 Geschrieben 10. Mai 2007 Melden Teilen Geschrieben 10. Mai 2007 Kannste nicht einfach den Port verlegen? Ist zwar keine optimale Lösung aber die Scriptkiddes scannen ja eh nur irgendwelche Ranges nach Port 21... Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 10. Mai 2007 Melden Teilen Geschrieben 10. Mai 2007 Hallo Mir fallen auf Anhieb eigentlich nur zwei Lösungen ein: - Absichern des FTP durch S-FTP - Firewall dazwischen (Cisco PIX zum Beispiel) Der Administrator account umbenennen ist security basic und gehört eigentlich bei jedem Device gemacht. Gruss, MAtthias Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 10. Mai 2007 Melden Teilen Geschrieben 10. Mai 2007 Beschäftige dich mit dem ISA Server. Die von dir gewünschten Funktionen hat er jedenfalls. Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 12. Mai 2007 Autor Melden Teilen Geschrieben 12. Mai 2007 Hallo Mir fallen auf Anhieb eigentlich nur zwei Lösungen ein: - Absichern des FTP durch S-FTP - Firewall dazwischen (Cisco PIX zum Beispiel Soll das heißen das SFTP automatisch die IPs von Hackern blockt, wohl kaum. Der FTP steht natürlich in der DMZ die von einer Firewall abgesichert ist. Das verhindert aber nicht das Hacker versuchen auf den FTP Server zu kommen, bzw. blockt das nicht automatisch die IPs. Beschäftige dich mit dem ISA Server. Die von dir gewünschten Funktionen hat er jedenfalls. dann werde ich mal versuchen mich tiefer in ISA einzuarbeiten. Hast du vielleicht nen Tipp an welcher Stelle die gesuchte Funktionalität versteckt ist? Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 18. Mai 2007 Autor Melden Teilen Geschrieben 18. Mai 2007 Ich bin gerade auf der Suche nach einem ISA 2004 Handbuch. Gibt es den irgendwo ein Handbuch im PDF Format? Ich habe keine Lust mir mehrere TechNet Seiten und die ganzen verstreuten Infos auf der Microsoftseite zu einem Dokument zusammen zubasteln. Den Quickstart Guide von ISA Server 2000 Quick Start Guide habe ich mir schon ausgedruckt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.