Ishildur 10 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Hallo Leute, als ich heute morgen ins Büro kam und die Logdateien meines Windows 2003 Server durchsah, bin ich ziemlich erschrocken. Da hatte ich doch glatt 35'003 mal "Login Failed for User usw." Der hatts über 16 Stunden versucht und ich weiss nicht, wann die nächste Attacke startet. Mein Chef vermutet einen seiner Konkurrenten hinter dem Angriff. Ich möchte nun ein IP-Blocking machen: Wenn bspw. ein Benutzer 10mal hintereinander ungültige Benutzerinformationen geliefert hat, soll seine IP gesperrt werden, bis ich sie am Server explizit wieder freischalte, doch wie geht das mit SQL Server 2005? Es wäre natürlich cool zu wissen, wer dahintersteckt. Den ISP habe ich heute vormittag angerufen, doch die schalten auf Stuur... Datenschutz und so... :suspect: Gibst da noch andere möglichkeiten? Ausserdem möchte ich, dass ich ein SMS bekomme, sobald die nächste Attacke wieder losgeht! Kann ich irgendwie mit Shell erreichen, dass ein bestimmtes Script ausgeführt wird, sobald ein ungültiger Login Versuch stattgefunden hat? Ich hoffe ihr könnt mir schnell helfen! Gruss Ishildur Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Wie, der SQl-Server ist direkt vom I-Net erreichbar ? Das macht man doch nicht. Hänge eine Firewall davor und gebe nut die wirklich benötigten Ports frei. -Zahni Zitieren Link zu diesem Kommentar
Ishildur 10 Geschrieben 12. April 2006 Autor Melden Teilen Geschrieben 12. April 2006 Das mit der Firewall habe ich natürlich schon vor Monaten gemacht! Nein der SQL - Server muss vom I-Net erreichbar sein, da es Leute gibt, die von aussen darauf zugreifen müssen. Ich gehe aber mal davon aus, dass Mr. 35'000 Access Denied möglicherweise nicht zu dieser erlauchten Gruppe gehört... ;) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 ... und erzähle mal generell mher darüber (Aufbau, SQL-Authentifizierung, etc.) grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 ....atürlich schon vor Monaten gemacht! Nein der SQL - Server muss vom I-Net erreichbar sein, da es Leute gibt, die von aussen darauf zugreifen müssen.) Trotzdem ein völlig falscher Ansatz, wenn ich das so mal zusätzlich betonen darf. Entweder du schränkst die Quellen ein, sollte es ein einziger oder einige Server sein, oder wenn es mobile User sind solltest du auf VPN zurückgreiffen. Aber alles andere ist unfug.... :wink2: Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Anm: Ich kenne auch niemanden, der seinen SQL direkt ins Internet hängt :rolleyes: grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Anm: Ich kenne auch niemanden, der seinen SQL direkt ins Internet hängt :rolleyes: grizzly999 Ich schon, das waren aber zwei unterschiedliche Firmen, und ich denke das da nur die beiden externen IP's der SQL miteinander quaseln konnten, und nicht die ganze Welt. ;) Leider hindert das aber auch niemanden den an sich unverschlüsselten SQL Verkehr mitzusniffen... :eek: :wink2: Zitieren Link zu diesem Kommentar
Ishildur 10 Geschrieben 12. April 2006 Autor Melden Teilen Geschrieben 12. April 2006 Also ich kann euch nicht verstehen! Wir sind ein Dienstleistungsunternehmen und ich bin dabei eine Software zu schreiben, welche auf allen Laptops unserer Techniker installiert wird! Die Daten werden auf unserem SQL - Server gespeichert! Ob ich nun den SQL - Server direkt ins Netz stelle oder ein VPN, wo iist da der Unterschied? Wenn ich denn SQL - Server ins Netz stelle, werden Leute versuchen, einen SQL - Server Account zu knacken, wenn ich einen RAS - Server direkt ins Netz stelle, werden dieselben Leute halt versuchen, einen RAS - Account zu knacken! Wo ist da der Unterschied. Ich finde ein VPN gefährlicher als ein SQL - Server. Ausserdem kann ich den SQL - Verkehr doch in SQL - Server 2005 auch verschlüsseln. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Vertehe ich jetzt nicht. VPN wirst Du nicht mit Brutforce knacken können. -Zahni Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Hi, also volle Zustimmung zu den Anmerkungen meiner Vorposter! Datenbankserver direkt erreichbar im Netz ist ein NoNo und zieht Scriptkidies nur so an! Das mit den SMSen kannst du meines Wissens nur mit einer Monitoring Lösung erreichen deren Einsatz generell in jedem Netzwerk zu empfehlen ist. Microsoft bietet hier den MOM an der auch schon voreingestellte Regelwerke bietet. Nagios ist hierbei einer OpenSource Vertreter verlangt aber nach sehr viel Einsarbeitungszeit und setzt gutes Linux KnowHow voraus. Über diese Monitoringlösungen kannst du dann mit hilfe von Scripten auch das schließen von Ports veranlassen wobei dass voraussetzt, dass ein Script die Rechte dazu hat was ich an sich schon wieder problematisch finden würde... Gruß Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 ! Ob ich nun den SQL - Server direkt ins Netz stelle oder ein VPN, wo iist da der Unterschied? :nene: Ich finde ein VPN gefährlicher als ein SQL - Server :nene: In welcher Art Dienstleistung arbeitest du? Aber nicht in der IT (bitte bitte nicht) grizzly999 Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Also ich kann euch nicht verstehen! Wir sind ein Dienstleistungsunternehmen und ich bin dabei eine Software zu schreiben, welche auf allen Laptops unserer Techniker installiert wird! Die Daten werden auf unserem SQL - Server gespeichert! Ob ich nun den SQL - Server direkt ins Netz stelle oder ein VPN, wo iist da der Unterschied? Wenn ich denn SQL - Server ins Netz stelle, werden Leute versuchen, einen SQL - Server Account zu knacken, wenn ich einen RAS - Server direkt ins Netz stelle, werden dieselben Leute halt versuchen, einen RAS - Account zu knacken! Wo ist da der Unterschied. Ich finde ein VPN gefährlicher als ein SQL - Server. Ausserdem kann ich den SQL - Verkehr doch in SQL - Server 2005 auch verschlüsseln. Öhm schon mal den Zugang zu nem IPSEC gesicherten VPN Server geknackt? Also ich nicht. Bei nem SQL Server sehe ich da weniger Probleme zusaml RAS Server dafür ausgelegt sind "direkt" im Netz zu stehen und SQL Server nicht! (wobei selbst RAS - Server hinter eine Firewall gehören - um nur den notwendigen Verkehr zu erlauben). Gruß Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 @Ishildur Ein VPN Gateway, Firewall, oder aber auch ein MS RRAS Server stehen auch nicht mit vollen 65'000 Ports im Internet, und meistens sind solche Dinger eh noch gehärtet. Und ohne Computer/VPN Client Zertifikat kannst du nichtmal eine brut force attacke auf den User Store des Gateways/Firewalls - oder sonst was - machen. P.S.: @Johannes Deckt sich verdächtig mit dem was du sagst :D :D Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 @Ishildur Deckt sich verdächtig mit dem was du sagst :D :D Dann wird es wohl richtig sein :D Zitieren Link zu diesem Kommentar
Ishildur 10 Geschrieben 12. April 2006 Autor Melden Teilen Geschrieben 12. April 2006 @grizzly999 Wie ich schon sagte: Ich bin Programmierer und nicht Administrator. Der SQL - Server läuft momentan als Entwicklungsserver und nicht als Produktionsserver. Ich gebe zu, dass ich keine Experte in Computersicherheit bin, aber das Thema interessiert mich dennoch und ich versuche jeden Tag, etwas weiter über meinen beruflichen Horizont zu sehen. In welcher Art Dienstleistung arbeitest du? Aber nicht in der IT (bitte bitte nicht) Du urteilst ja ziemlich schnell! Wenn du mich kennen würdest, währe ich beleidigt... ;) Also, wenn jemand tatsächlich einen SQL - Server Account knackt, dann hat er Zugriff auf eine Datenbank voller Testdaten... Wenn jemand einen VPN - Account knackt, dann har er Zugriff auf alle internen Dateiserver - Freigaben, auf die Buchhaltung usw... UND auf den SQL - Server! Was ist wohl gefährlicher? Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut! P.S. Wenn ihr in den Entwicklerforen etwas fragen würdet, dann würde ich euch willkommen heissen und euch mit Respekt begegnen und versuchen, euch zu helfen, anstatt euch zu verhöhnen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.