Autor Thema: Automatisches Sperren von zuvielen bei Authentication Failures möglich?  (Gelesen 2519 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Hallo,

natürlich ist dieses Verhalten täglich zu beobachten: Auf unserem WebAccess-Domino wird immer wieder versucht sich mit verschiedensten willkürlichen meist nicht verhandenen Benutzern anzumelden. (Bps. presidente@unsere_domain.de)
Natürlich funktioniert schlägt dies fehl und auch bei tatsächlich bekannten Namen wird der Zugang nach 4 Fehlversuchen bis auf Weiteres gesperrt.

Aber seit einigen Wochen beobachten wir, dass diese Brute-Force-Methoden stark zugenommen haben und unseren Server dabei recht start unter Last setzen.
Das Log zeigt dabei nicht selten mehr als 20 Versuche pro Sekunde an.
Wenn mir das am Tage beobachte, gibts einfach kurz einen Eintrag auf der Firewall und die IP ist gesperrt. Aber ich bin ja nicht rund um die Uhr und am Wochenende immer da.

Meine Frage also: Wie handhabt ihr sowas? Kann man das "Scripten", dass bei mehr als einem Versuch pro Sekunde eine Batch, eine Webservice oder was auch immer gestartet wird, der dann auf der Firewall den Zugang komplett sperrt?

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Danke für die Antwort, aber wenn ich das richtig verstehe, dann wird auf der lokalen Firewall des Servers dann ein Eintrag erstellt.
Ich würde aber gerne schon vorher auf der "richtigen" Firewall den Eingang sperren und muss dafür idealerweise (weil schon auf diese Art an anderer Stelle realisiert), ein Webservice aufgerufen wird, der per ssh den entsprechenden Befehl ausführt.
Zudem muss ich gestehen, dass wir hier auch kein Linux im Einsatz haben, sondern (leider noch) einen Windows-Server.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Für alle die es interessieren könnte...
Ich habe es jetzt wie folgt gelöst:

Ich habe einen Agenten geschrieben, der mir alle Log-Einträge der Form Events der letzten 5 Minuten nach "Authentication failure" durchsucht.
Dieser wird als Webservice aufgerufen und liefert dann alle gefundenen Einträge inklusive Zeitstempel und IP-Adresse.
Diese Einträge speichere ich (der Einfachheit halber) kurz in eine MySQL-Tabelle und kann hier dann bequem nach IP-Adresse und nach Zeitstempel sortieren.
Damit zähle ich dann wie oft eine Authentication Failure mit einer bestimmte IP auftritt und wie oft innerhalb einer Zeitspanne.
(Z.B. mehr als 10 Versuche innerhalb der 5 Minuten oder mindestens 2 Versuche innerhalb von 2 Sekunden)
Die dem Filter entsprechenden Einträge werden dann automatisch auf der Firewall blockiert und protokolliert.
Der Agent wird alle 5 Minuten aufgerufen.

Ich hatte anfangs so meine Bedenken, wie lange die Suche nach allen Events der letzten 5 Minuten dauern würde, aber ich war dann überrascht wie schnell der Webservice die entsprechenden Dokumente gefunden, durchsucht und ausgegeben hat. (Unter 1 Sekunde)


Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Schöne Lösung. U.u hätte ich einen XAgent statt eines klassischen Agenten oder einen „echten“ Webservice genommen wegen des Overhead eines Agenten... aber prinzipiell: coole Idee!
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz