w2k3 brute force - IPs sperren

[dslthomas]

Moin, Moin

Ich habe einen W2k3 Server der als Webserver fungiert. Hier wurden an einem Tag 64.000 Anmeldefehlversuche protokolliert. Ich mach mir zwar nicht so die großen Sorgen dass man mit ner brute force Zugriff erlangt da die Passwörter "stark genug" sind,- jedoch würde ich den Server gern so einstellen können dass eine IP mit mehr als 3 Anmeldefehlversuchen für eine bestimmte Zeit gesperrt wird.

Wie genau stelle ich das an?

Danke und Gruß aus Hamburg

-> -> -> -> -> E D I T <- <- <- <- <-

Ach ja, die Sperre sollte einsetzen egal um welchen Versuch der falschen Anmeldung es sich handelt SMTP, FTP, RPC etc.

[zahni]

Schalte eine gescheite Firewall mit Intrusion Detection (IDS) davor.

-Zahni

[olc]

Hi,

ergänzend zum Hinweis von zahni: Wie kommen die Anfragen eigentlich über "RPC" an? Was ist nach außen auf dem WebServer freigegeben?

Viele Grüße
olc

[dslthomas]

Zitat von olc Wie kommen die Anfragen eigentlich über "RPC" an? Was ist nach außen auf dem WebServer freigegeben?

Danke für Eure Antworten. Also die Firewall protokolliert unter anderem folgendes:

28.02.2010 20:56:09---TCP Flood-Angriff erkannt---62.193.xx.xx:41497---81.xx.xx.xx:1433---TCP 25.02.2010 06:53:15---SMB Relay-Angriff erkannt---202.4.xx.xx:62321---81.xx.xx.xx:139---TCP 24.02.2010 16:24:34---Portscan-Angriff erkannt---195.xx.xx.xx:43731---81.xx.xx.xx:80---TCP

Das Ereignislog von Windows protokolliert 3-5 Versuche PRO SEKUNDE dieser Art:

Ereignistyp: Warnung Ereignisquelle: MSFTPSVC Ereigniskategorie: Keine Ereigniskennung: 100 Datum: 28.02.2010 Zeit: 19:41:26 Benutzer: Nicht zutreffend Computer: xxx Beschreibung: Der Server konnte das Windows NT-Konto "Administrator" aufgrund des folgenden Fehlers nicht anmelden: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort. Die Daten enthalten die Fehlerinformationen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Daten: 0000: 2e 05 00 00 ....

Ich habe einfach keinen Plan wie ich dieser Maschine begreiflich machen kann dass sie eine IP die mehrere Login-Fehlversuche hat für eine bestimmte Zeit gesperrt wird. Unter Linux ging das mit IPtables ganz gut.

Ports sind nur die "geöffnet" die auch benötigt werden (80,25,110 etc.) und diverse Onlinetests sagen alle dass die Kiste sicher ist. Allerdings hat das ganze für mich einen bitteren Beigeschmack wenn ich zusehen muss wie diverse 16-Jährige die bei Google so ein "geheimes Tool" gefunden haben versuchen mit der Brechstange in die Kiste einzudringen.

[olc]

Hi,

wenn nur die benötigten Ports freigegeben sind, dann geschieht dies über die Board-eigene Firewall? Da in Deinem Log auch SMB angesprochen wird vermute ich, daß keine zusätzliche Firewall davor steht?

Ich kann zahni nur zustimmen - wenn Du dieses "Hintergrundrauschen" nicht möchtest, schalte ein IDS / IPS davor. Dann kannst Du gleich auch inhaltlich gegenprüfen, was da über die Leitung geht, zum Beispiel mit dem ISA als Reverse Proxy o.ä. Produkten.

Viele Grüße
olc