Firewall blocken nach Anmeldedaten

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Firewall blocken nach Anmeldedaten

Beitrag von weshalb » 12.07.2018 16:37:21

Hallo, ich benutze fail2ban und überlege gerade, ob es wohl Möglichkeiten gibt, beim Blocken lediglich nur die betreffenden falschen Anmeldeversuche zu sperren.

Sitzen mehrere Leute hinter einem Router und loggt sich jemand beispielsweise mehrfach irgendwo falsch ein, wird schließlich das ganze Netzwerk laut externer IP geblockt.

Gibt es Möglichkeiten, dass andere korrekte Eingaben zu existierenden Userdaten nicht geblockt werden?

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Firewall blocken nach Anmeldedaten

Beitrag von heisenberg » 12.07.2018 16:48:03

Das wäre die klassische Aufgabe eines Network Intrusion Detection Systems(Siehe hier für eine Auswahl: https://www.alienvault.com/blogs/securi ... k-overview)

Mit fail2ban kann man das auch machen, wenn man auf mehreren Hosts mit fail2ban dann jeweils z. B. per SSH auf dem Router die IP sperrt und auch wieder löscht. (Man kann auch die IP-Sperre auf eine Netzwerksperre ausweiten). Denkbar wäre auch eine synchronisation der fail2bans untereinander, so dass eine Sperre/Freigabe auf allen Hosts durchgeführt wird.

Das ist allerdings dann etwas Bastelarbeit.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

BenutzerGa4gooPh

Re: Firewall blocken nach Anmeldedaten

Beitrag von BenutzerGa4gooPh » 13.07.2018 09:20:24

heisenberg hat geschrieben: ↑ zum Beitrag ↑
12.07.2018 16:48:03
Das wäre die klassische Aufgabe eines Network Intrusion Detection Systems(Siehe hier für eine Auswahl: https://www.alienvault.com/blogs/securi ... k-overview)
Danke für die Übersicht! snort und suricata waren mir bekannt, da pfSense und OPNSense diese als Zusatzpakete mitliefern - aber noch nie probiert.

uname
Beiträge: 12043
Registriert: 03.06.2008 09:33:02

Re: Firewall blocken nach Anmeldedaten

Beitrag von uname » 13.07.2018 10:11:08

Naja. Die Frage wäre vielleicht noch ob du überhaupt viel mehr als eine externe IP-Adresse vom Angreifer hast. Oft werden Angriffe über beliebige Benutzeraccounts gefahren, die weder von außen erreichbar (z. B. root) sind noch existieren. Da ist einzig eine vollständige Sperre der IP-Adresse sinnvoll. Oder hast du einen SSH-Server mit Tausenden von Accounts, wo unterschiedliche Benutzer über identische lokale Netzwerke (z. B. DSL-Anschlüsse) zugreifen, da sie verwandt sind bzw. in einer gemeinsamen Firma bzw. Institution arbeiten? Das erscheint mir unwahrscheinlich.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Firewall blocken nach Anmeldedaten

Beitrag von weshalb » 13.07.2018 12:48:34

@uname

Eigentlich handelt es sich um einen simplen, relayenden Mailserver mit zusätzlicher Webmaske, der an einem anderen Standort steht.

Antworten