Automatisches Sperren von zuvielen bei Authentication Failures möglich?

[schroederk]

Hallo,

natürlich ist dieses Verhalten täglich zu beobachten: Auf unserem WebAccess-Domino wird immer wieder versucht sich mit verschiedensten willkürlichen meist nicht verhandenen Benutzern anzumelden. (Bps. presidente@unsere_domain.de)
Natürlich funktioniert schlägt dies fehl und auch bei tatsächlich bekannten Namen wird der Zugang nach 4 Fehlversuchen bis auf Weiteres gesperrt.

Aber seit einigen Wochen beobachten wir, dass diese Brute-Force-Methoden stark zugenommen haben und unseren Server dabei recht start unter Last setzen.
Das Log zeigt dabei nicht selten mehr als 20 Versuche pro Sekunde an.
Wenn mir das am Tage beobachte, gibts einfach kurz einen Eintrag auf der Firewall und die IP ist gesperrt. Aber ich bin ja nicht rund um die Uhr und am Wochenende immer da.

Meine Frage also: Wie handhabt ihr sowas? Kann man das "Scripten", dass bei mehr als einem Versuch pro Sekunde eine Batch, eine Webservice oder was auch immer gestartet wird, der dann auf der Firewall den Zugang komplett sperrt?

[m3]

Unter Linux gibts genau dafür fail2ban
https://www.fail2ban.org/wiki/index.php/Main_Page

[schroederk]

Danke für die Antwort, aber wenn ich das richtig verstehe, dann wird auf der lokalen Firewall des Servers dann ein Eintrag erstellt.
Ich würde aber gerne schon vorher auf der "richtigen" Firewall den Eingang sperren und muss dafür idealerweise (weil schon auf diese Art an anderer Stelle realisiert), ein Webservice aufgerufen wird, der per ssh den entsprechenden Befehl ausführt.
Zudem muss ich gestehen, dass wir hier auch kein Linux im Einsatz haben, sondern (leider noch) einen Windows-Server.

[schroederk]

Für alle die es interessieren könnte...
Ich habe es jetzt wie folgt gelöst:

Ich habe einen Agenten geschrieben, der mir alle Log-Einträge der Form Events der letzten 5 Minuten nach "Authentication failure" durchsucht.
Dieser wird als Webservice aufgerufen und liefert dann alle gefundenen Einträge inklusive Zeitstempel und IP-Adresse.
Diese Einträge speichere ich (der Einfachheit halber) kurz in eine MySQL-Tabelle und kann hier dann bequem nach IP-Adresse und nach Zeitstempel sortieren.
Damit zähle ich dann wie oft eine Authentication Failure mit einer bestimmte IP auftritt und wie oft innerhalb einer Zeitspanne.
(Z.B. mehr als 10 Versuche innerhalb der 5 Minuten oder mindestens 2 Versuche innerhalb von 2 Sekunden)
Die dem Filter entsprechenden Einträge werden dann automatisch auf der Firewall blockiert und protokolliert.
Der Agent wird alle 5 Minuten aufgerufen.

Ich hatte anfangs so meine Bedenken, wie lange die Suche nach allen Events der letzten 5 Minuten dauern würde, aber ich war dann überrascht wie schnell der Webservice die entsprechenden Dokumente gefunden, durchsucht und ausgegeben hat. (Unter 1 Sekunde)

[Tode]

Schöne Lösung. U.u hätte ich einen XAgent statt eines klassischen Agenten oder einen „echten“ Webservice genommen wegen des Overhead eines Agenten... aber prinzipiell: coole Idee!