dslthomas 10 Geschrieben 24. Februar 2010 Melden Teilen Geschrieben 24. Februar 2010 (bearbeitet) Moin, Moin Ich habe einen W2k3 Server der als Webserver fungiert. Hier wurden an einem Tag 64.000 Anmeldefehlversuche protokolliert. Ich mach mir zwar nicht so die großen Sorgen dass man mit ner brute force Zugriff erlangt da die Passwörter "stark genug" sind,- jedoch würde ich den Server gern so einstellen können dass eine IP mit mehr als 3 Anmeldefehlversuchen für eine bestimmte Zeit gesperrt wird. Wie genau stelle ich das an? Danke und Gruß aus Hamburg -> -> -> -> -> E D I T <- <- <- <- <- Ach ja, die Sperre sollte einsetzen egal um welchen Versuch der falschen Anmeldung es sich handelt SMTP, FTP, RPC etc. bearbeitet 24. Februar 2010 von dslthomas Siehe EDIT Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 24. Februar 2010 Melden Teilen Geschrieben 24. Februar 2010 Schalte eine gescheite Firewall mit Intrusion Detection (IDS) davor. -Zahni Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 24. Februar 2010 Melden Teilen Geschrieben 24. Februar 2010 Hi, ergänzend zum Hinweis von zahni: Wie kommen die Anfragen eigentlich über "RPC" an? Was ist nach außen auf dem WebServer freigegeben? Viele Grüße olc Zitieren Link zu diesem Kommentar
dslthomas 10 Geschrieben 1. März 2010 Autor Melden Teilen Geschrieben 1. März 2010 Wie kommen die Anfragen eigentlich über "RPC" an? Was ist nach außen auf dem WebServer freigegeben? Danke für Eure Antworten. Also die Firewall protokolliert unter anderem folgendes: 28.02.2010 20:56:09---TCP Flood-Angriff erkannt---62.193.xx.xx:41497---81.xx.xx.xx:1433---TCP 25.02.2010 06:53:15---SMB Relay-Angriff erkannt---202.4.xx.xx:62321---81.xx.xx.xx:139---TCP 24.02.2010 16:24:34---Portscan-Angriff erkannt---195.xx.xx.xx:43731---81.xx.xx.xx:80---TCP Das Ereignislog von Windows protokolliert 3-5 Versuche PRO SEKUNDE dieser Art: Ereignistyp: WarnungEreignisquelle: MSFTPSVC Ereigniskategorie: Keine Ereigniskennung: 100 Datum: 28.02.2010 Zeit: 19:41:26 Benutzer: Nicht zutreffend Computer: xxx Beschreibung: Der Server konnte das Windows NT-Konto "Administrator" aufgrund des folgenden Fehlers nicht anmelden: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort. Die Daten enthalten die Fehlerinformationen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Daten: 0000: 2e 05 00 00 .... Ich habe einfach keinen Plan wie ich dieser Maschine begreiflich machen kann dass sie eine IP die mehrere Login-Fehlversuche hat für eine bestimmte Zeit gesperrt wird. Unter Linux ging das mit IPtables ganz gut. Ports sind nur die "geöffnet" die auch benötigt werden (80,25,110 etc.) und diverse Onlinetests sagen alle dass die Kiste sicher ist. Allerdings hat das ganze für mich einen bitteren Beigeschmack wenn ich zusehen muss wie diverse 16-Jährige die bei Google so ein "geheimes Tool" gefunden haben versuchen mit der Brechstange in die Kiste einzudringen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 1. März 2010 Melden Teilen Geschrieben 1. März 2010 Hi, wenn nur die benötigten Ports freigegeben sind, dann geschieht dies über die Board-eigene Firewall? Da in Deinem Log auch SMB angesprochen wird vermute ich, daß keine zusätzliche Firewall davor steht? Ich kann zahni nur zustimmen - wenn Du dieses "Hintergrundrauschen" nicht möchtest, schalte ein IDS / IPS davor. Dann kannst Du gleich auch inhaltlich gegenprüfen, was da über die Leitung geht, zum Beispiel mit dem ISA als Reverse Proxy o.ä. Produkten. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.