butch80 10 Geschrieben 12. August 2010 Melden Teilen Geschrieben 12. August 2010 Hi all, heute Nacht hatten wir in der Ereignisanziege Sicherheit mehrere Fehlschläge wie folgt gesichtet: Quelle: Security, Kategorie An/Abeldung, Ereigniskennung: 529 Benutzer: NT-Autorität\System Computer:SBS Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: office Domäne: Anmeldetyp: 3 Anmeldevorgang: Advapi Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Name der Arbeitsstation: SBS Aufruferbenutzername: SBS$ Aufruferdomäne: Unsere-Domäne Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 2164 Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Weitere Einträge mit anderem Benutzernamen wie "test", "contact" wurden ebenfalls die gleichen Fehlschläge geloggt. Wie geht man am Besten in solch einen Fall vor, damit man diese Art Bruteforce Attacken unterbindet? (leider fehlt mir die Quell-IP) Danke im Voraus! Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 12. August 2010 Melden Teilen Geschrieben 12. August 2010 Moin, der beste Schutz gegen Brute Force sind starke Kennwörter. Ansonsten kann man dazu wenig sagen, ohne die Struktur zu kennen. Selbstverständlich solltet ihr euch nach außen durch Firewalls schützen usw. Derartige Angriffe können aber auch durch Malware von innen verursacht werden - also gehört auch Schutz dagegen auf die Liste. Oder was willst du jetzt hören? Gruß, Nils Zitieren Link zu diesem Kommentar
butch80 10 Geschrieben 12. August 2010 Autor Melden Teilen Geschrieben 12. August 2010 Oder was willst du jetzt hören? Gruß, Nils ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin? Sollte die Firewall solche Angriffe nicht endecken und unterbinden? Wir haben eine firebox550 von Watchguard im Einsatz. trotzdem danke für deine Info Nils Zitieren Link zu diesem Kommentar
butch80 10 Geschrieben 12. August 2010 Autor Melden Teilen Geschrieben 12. August 2010 (bearbeitet) die Angriffe tauchen übrigens immer nachts auf und der Anmeldename wechselt nach ca. 5 Versuchen. Sehr beunruhigend. bearbeitet 12. August 2010 von butch80 Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 12. August 2010 Melden Teilen Geschrieben 12. August 2010 Hallo. Sollte die Firewall solche Angriffe nicht endecken und unterbinden? Wieso? Wenn z.B. der RDP Port auf der Firewall geöffnet ist, wieso soll dann die Firewall überprüfen, bzw. überprüfen können ob die User Authentifizierung ok ist. Wie immer an dieser Stelle die Frage, welche Ports sind auf der Firewall geöffnet? LG Günther Zitieren Link zu diesem Kommentar
butch80 10 Geschrieben 12. August 2010 Autor Melden Teilen Geschrieben 12. August 2010 Hallo GuentherH, da hast du auch wieder Recht! der RDP Port ist aber nicht offen. hier die offenen Ports: 21 22 25 80 443 1935 53 5060 30000-30005 (telefonsoftware) 5004-5027 (telefonsoftware) thats all. Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 12. August 2010 Melden Teilen Geschrieben 12. August 2010 Hi, sind das augehende Ports oder eingehende ? Zitieren Link zu diesem Kommentar
butch80 10 Geschrieben 12. August 2010 Autor Melden Teilen Geschrieben 12. August 2010 (bearbeitet) hier etwas detaillierter: 21 Ausgehend 22 Ausgehend 25 Ein-/ Ausgehend 80 ausgehend 443 Ein-/ Ausgehend 1935 sowohl, als auch ( haben einen mediaserver im Haus) 53 ausgehend NTP 123 (hatte ich zuvor vergessen) ausgehend 5060 Ein-/ Ausgehend 30000-30005 (telefonsoftware) Ein-/ Ausgehend 5004-5027 (telefonsoftware) Ein-/ Ausgehend bearbeitet 12. August 2010 von butch80 Zitieren Link zu diesem Kommentar
butch80 10 Geschrieben 16. August 2010 Autor Melden Teilen Geschrieben 16. August 2010 (bearbeitet) Wir haben vermerhrt Einträge, die unlogisch für einen Angriff sind. Da versucht jemand mit einem "@" sich als Benutzername anzumelden? Bei diesen Versuchen, stammt die Quell-IP auch von unseren SQL und Terminalservern. Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: @ Domäne: Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Name der Arbeitsstation: Terminalserver Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.1.123 Quellport: 0 Wir haben Windows Server 2003 im Einsatz. Die Server wurden komplett gescannt und sind angeblich sauber. Noch jemand eine idee? bearbeitet 16. August 2010 von butch80 Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 16. August 2010 Melden Teilen Geschrieben 16. August 2010 Häufig liegt dies an einem nach aussen geöffneten SMTP-Port, bei welchem auch SMTP-Auth aktiv ist - bei einem SBS03 die Default-Konfiguration. Aus diesem Grund deaktiviere ich SMTP-Auth bei SBSen jeweils. Zitieren Link zu diesem Kommentar
butch80 10 Geschrieben 16. August 2010 Autor Melden Teilen Geschrieben 16. August 2010 wir haben meines Wissens keinen SMTP-Auth aktiviert. Immerhin haben wir folgende Einstellung: Ausgehende Sicherheit -->Anonymer Zugriff oder lieg ich falsch? Zitieren Link zu diesem Kommentar
donnervogel515 13 Geschrieben 16. August 2010 Melden Teilen Geschrieben 16. August 2010 ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin? Sollte die Firewall solche Angriffe nicht endecken und unterbinden? Wir haben eine firebox550 von Watchguard im Einsatz. trotzdem danke für deine Info Nils Hallo, die Firewall macht was man ihr sagt und wenn entsprechender Datenverkehr erlaubt ist prüft sie diesen nicht zwingend auf Sinnhaftigkeit. Es gibt aber von Watchguard eine kostenpflichtige Option (IPS - Intrusion Prevention Service) die anhand verschiedener Signaturen/Angriffsmuster entsprechende unerwünschte Versuche automatisch unterbindet. Die Option kann einzeln oder als Bestandteil des UTM-Bundles erworben werden und sollte für die kleine X550e auch nicht die Welt kosten. Wir haben gerade in Verbindung mit dem SMTP-Proxy (Firewall) sehr gute Erfahrungen damit gemacht bzw. konnten noch keine Fehlfunktionen feststellen. Zitieren Link zu diesem Kommentar
butch80 10 Geschrieben 17. August 2010 Autor Melden Teilen Geschrieben 17. August 2010 danke für die info! Das optionale Bundle von Watchguard klingt zwar sehr interessant, aber wir haben ja schon einen Spamfilter, sowie das McAfee Komplettpaket (Groupshield etc.) Beides wird schwer zu verwalten sein, bzw. evtl. Probleme mit sich bringen. :-/ Zitieren Link zu diesem Kommentar
donnervogel515 13 Geschrieben 18. August 2010 Melden Teilen Geschrieben 18. August 2010 Du musst ja nicht alle Funktionen nutzen.....mir ging es jetzt nur um die IPS-Funktion. Aber aus persönlicher Erfahrung kann ich sagen, dass eine zusätzliche AV-Verteidigung bei McAfee Groupshield und auch allgemein nicht schaden kann. Aber dieses ist ein ganz anderes Thema. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.