HCL Notes / Domino / Diverses > Administration & Userprobleme
Webuser gegen Missbrauch absichern
schroederk:
Da wir den Domino auf einem Windows-Server laufen haben, war fail2ban für uns nicht gegeben.
Wir haben letztlich eine eigene Lösung gebaut, bei der wir die Authentifizierungsversuche aus dem Log auslesen und bei zuvielen Anmeldeversuchen innerhalb eines Zeitraums die IP auf der Firewall sperren.
Bsp. 10 Anmeldeversuche innerhalb 5 Minuten (Ein echter User wird wohl keine 10 Mal versuchen und sich schon gemeldet haben)
oder 2 Anmeldeversuche innerhalb 5 Sekunden (ein echter User wird es wohl nicht schaffen, sein Kennwort zweimal innerhalb von 5 Sekunden einzugeben)
Die auf der Firewall gesperrten IP-Adressen bleiben bis zum nächsten Neustart gesperrt.
Michael_V:
--- Zitat von: omega am 12.09.22 - 09:01:45 ---
Ich nehme an, dass euer Server unter Windows läuft? Unter Linux hättest du es mal fail2ban versuchen können.
--- Ende Zitat ---
Ja, läuft unter Windows
--- Zitat von: CarstenH am 12.09.22 - 09:30:47 ---
Selbst wenn die IP Beschränkung vorerst funktioniert dürfte es nur eine Frage der Zeit sein bis hartnäckige Angreifer einen funktionierenden Adressbereich herausfinden. Ich nehme an, ihr habt bereits Sitzungsbasierte Authentifizierung per Login Maske anstatt der Basic Authentication aktiv? Das sollte man immer zuerst umstellen denn viele automatisierte Angriffstools setzen auf HTTP Returncodes um auf Erfolg zu testen - das funktioniert mit der Loginmaske nicht mehr - diese liefert immer den Code 200 da die Webseite mit der Anmeldung ja erfolgreich geladen werden kann. Wenn die Angriffe dann trotzdem weiter stattfinden kommt dein "spezieller und einzig gültiger Username" ins Spiel.
--- Ende Zitat ---
Stimmt, ich komme auch kaum hinterher, die Firewall zu füttern. Spätestens wenn die "Angreifer" wieder wach sind (meist USA, aber auch andere), geht es wieder los.
Ich teste mal, ob es mit Loginmaske weniger wird. Die Multifaktor Authentifizierung wäre natürlich zeitgemäß. Das werde ich auf jeden Fall mal machen, wenn ich mehr Zeit habe.
--- Zitat von: schroederk am 12.09.22 - 13:07:38 ---
Wir haben letztlich eine eigene Lösung gebaut, bei der wir die Authentifizierungsversuche aus dem Log auslesen und bei zuvielen Anmeldeversuchen innerhalb eines Zeitraums die IP auf der Firewall sperren.
--- Ende Zitat ---
Das klingt ja generell spannend. Macht ihr das per Hand? Ich füttere ja auch ständig unsere Firewall und wenn das automatisch ginge, auch temporär, wäre das ja grandios. Ich bin kein großer Windowsfachmann, aber habt ihr da ein Script laufen?
schroederk:
--- Zitat von: Michael_V am 13.09.22 - 08:17:55 ---Das klingt ja generell spannend. Macht ihr das per Hand? Ich füttere ja auch ständig unsere Firewall und wenn das automatisch ginge, auch temporär, wäre das ja grandios. Ich bin kein großer Windowsfachmann, aber habt ihr da ein Script laufen?
--- Ende Zitat ---
Wir haben einen Webserver (Apache). Dieser greift (mittels PHP über cURL) auf einen Agent zu, der das Log ausliest und alle fehlgeschlagenen Authentifizierungsversuche zurückliefert.
Diese werden dann entsprechend analysiert.
Werden Zugriffe gefunden, die gesperrt werden sollen, werden diese zu Protokoll-Zwecken in eine (MySQL-)Tabelle geschrieben.
Anschließend verbindet sich der Webserver mit der Firewall und fügt die IP-Adressen der Shun-Liste hinzu.
Die IP-Adressen bleiben solange blockiert, bis entweder die Firewall (Cisco) neugestartet wird oder die Liste manuell gelöscht wird.
Das läuft nun seit etwa 4,5 Jahren komplett automatisch.
Den Agenten bauen und das PHP-Script ist keine Raketenwissenschaft. Ob das bei euch die Firewall unterstützt und ihr das auch wollt (denn die Zugangsdaten für die Firewall stehen dann auf dem Webserver), müsst ihr für euch klären.
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln