IP-Blacklisten für WebBox, Mail Access Server, WebAPI

  • David bietet ja wunderbare Möglichkeiten von extern auf die Daten zuzugreifen, z.B.:
    - Webbox per HTTPS
    - Mail Access Server per IMAPS
    - david WebAPI mit dem David3 Client HTTPS
    Leider werden in der heutigen Zeit diese Ports von Hackern täglich vielfach angegriffen.
    In der Webbox kann man zumindestens die IP-Adressen in der Robinson Liste manuell eintragen, doch dem Mail Access Server und der WebAPI fehlt so eine Robinson Liste. (gibt es für die WebAPI überhaupt ein Log für fehlerhafte Logins?)
    Schön wäre es, wenn es ein (konfigurierbarer) Automatismus gäbe:
    - nach X Fehlerhaften Logins in Y Minuten landet die IP für Z Minuten auf die Blackliste.


    Oder welche Lösungen benutzt Ihr um den Zugriff für mobile Mitarbeiter (Smartphone, Tablet, Home-Office..) etwas besser gegen die ständigen Hacker Angriffe abzusichern ?


    Viele Grüße


    Klaus

  • Man kann den Benutzer für Zeit X automatisch sperren.

    Mehr geht mit den Boardmitteln nicht, Windows Firewall, bzw Hardware Firewall können hier abhelfen

  • Den Benutzer für Zeit X zu sperren ist halt ne ziemlich unschöne Methode.
    Denn damit schießt man sich bzw. seinen Nutzern letztlich selbst in den Fuß, Stichwort "denial of service"

    Wenn dann muss man bei nicht erfolgreichen Zugriffen die betreffende IP aussperren und idealer Weise lässt man zumindest schon mal IP Adressblöcke aus Ländern rein in denen sich auch Nutzer des eigenen Unternehmens aufhalten, Stichwort Geoblocking.

    Geoblocking kann man schön mit externen Firewalls abbilden.
    Fehlgeschlagene Zugriffe in IP-Blocking umzumünzen erfordert schon etwas mehr Aufwand.
    Entweder verwendet man eine Hardwarefirewall mit Reverse Proxy, oder man wertet die Logs des David Servers aus um daraus dann IP-Block Listen zu generieren.

    So oder so muss man natürlich auch ab und an damit rechnen dann Hand anlegen zu müssen um jemanden doch wieder rein zu lassen der sich nur durch einen Fehler ausgesperrt hat.

  • Geoblocking ist immer so ne sache, solange kein Mitarbeiter sich in einem Betreffenden Land aufhält geht das.

    Reverse Proxy ist auch eigentlich auch kein Schutz für fehlerhafte Logins , wird idr dafür genutzt mehrere Services über den gleiche Port

    laufen zu lassen, und anhand der URLs etc auf den richtigen Server zu verweisen, ohne da dieser Server/Port

    direkt erreichbar sein muss. Bei bedarf kümmert sich natürlich auch um die Verschlüsselung, und wird idr von der AV Engine

    der Firewall geprüft. Wenn der Reverse Proxy die Antworten des Servers auswerten kann (fehlerhafter Login), und darauf hin nach

    Versuch x die IP auf Blacklist packt OK. Ob ein Reverse Proxy mit zusätzlicher Authentifizierung mit EAS klappt hab ich noch nicht

    getestet. Wenn ein Unified Firewall Hersteller mehr kann was den Reverse Proxy betrifft, freue ich mich

    über Infos ;)

  • Ich setze keine Hardware Firewalls ein, kann also nicht mit Infos dazu dienen ;-)
    Meine Lösungen sind selbst gebaut und passen zum hauseigenen Bedarf, ich habe allerdings weder Zeit noch Lust sie bei anderen zu supporten, entsprechend kann und will ich da nicht weiter ins Detail gehen.

    Ohne Frage wäre es natürlich schön wenn Tobit selbst dem David Server die Möglichkeiten verpassen würde sich zumindest um das Thema IP blocken oder zumindest ignorieren nach x Fehlversuchen zu kümmern.

    Da es das aber aktuell nicht gibt muss man sich halt was anderes einfallen lassen ;-)

    Im Zweifel baut man sich nen schickes VPN davor und lässt nur die Nutzer des VPNs auf den David Server.

  • Antwort von Tobit:

    Quote

    "Wir freuen uns über Ihr Feedback und werten das systematisch mit anderen Rückmeldungen unserer Kunden und Partner aus. Über Änderungen und Neuerungen Informieren wir in der Code History der jeweiligen Rollouts."

  • Geoblocking kann man schön mit externen Firewalls abbilden.

    ..., oder man wertet die Logs des David Servers aus um daraus dann IP-Block Listen zu generieren.

    dafür müsste es erst einmal Logs (z.B. MAServer) geben, die man auswerten kann..


    Und du hast recht, das ist u.U. sehr aufwändig weil verschiedene Router / Firewalls
    ... am einfachsten wäre das also im David Code aufgehoben..

  • Mir gelingt es in den seltensten Fällen beim Tobit Support meine Botschaft an die richtigen Leute zu transportieren.


    Als ich darum gebeten hatte, mal zu prüfen, ob man bei den Backline Services/Identifizierung nicht die Möglichkeit schaffen könnte den SMTP Header zu überprüfen, ob "Received-SPF: fail" enthalten ist und ich diese Mails dann aussortieren kann, in ein Unterordner. SPF ist dann auf Fail, wenn der Domaininhaber der Absendermail festgelegt hat, welche IP Adressen berechtigt sind mit dieser Adresse zu senden und die sendende IP Adresse NICHT dabei ist. Also Spammer, die Ihre Absenderadresse fälschen. Ich musste mich von denen beschimpfen lassen, weil die mich einfach nicht ernst nehmen wollten und ich etwas ungehalten reagierte.


    Eine Botschaft konnte ich aber scheinbar an den richtigen Mann bringen, denn ich hatte massive Fehl Logins belegen können und habe die eingereicht und um Mithilfe gebeten, da einen Riegel vorzuschieben.

    Seit dem gibt es im David Administrator - Postmann unter "Brute Force Attack" ein paar Einstellungen, die in die richtige Richtung gehen.


    Ich habe mich jedoch entschieden, nur noch per VPN auf mein Netzwerk zugreifen zu können, das tut auch nicht weh, ein klasse Türsteher.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!