Passworteingabe auf wenige Versuche begrenzen

H

heathkit

Mitglied
Thread Starter
Dabei seit
18.10.2004
Beiträge
66
Reaktionspunkte
0
Hallo!
Gibt es eine Möglichkeit, die Anzahl an Fehlversuchen bei der Passworteingabe fest zu legen (oder festzulegen)? Ich denke da an so was wie die Pineingabe bei Handys, die nach 3 Fehlversuchen blockiert, oder falsche Codeeingabe bei Autoradios, bei der man dann 1 Stunde warten muss. Hintergrund meiner Frage sind Angriffe aus dem Internet, bei dem ein Programm Passwörter generiert und eins nach dem anderen probiert. Das wäre dann doch ein einfacher aber wirkungsvoller Schutz.
 
Passt nicht genau auf Mac OS aber es gibt ein Script, dass die IP-Adresse eines Remotebenutzers für eine einstellbare Zeit per iptables blockt.
Lief unter Linux und war in Python.

Es geht ums Prinzip: Mit zählen wie oft eine Remoteanmeldung schief geht und nach x Versuchen die IP-Adresse sperren. Die Sperrung dann nach 15 min aufheben und fertig. Das hilft nur um Brute-Force-Attacken zu verhindern, bzw. rauszuzögern.

Gruß Malte
 
Ich halte die Beschränkung der Anzahl der zulässigen Fehlversuche für einen Ansatz, der zumindest verbesserungsfähig ist.

Wie ist den der Rechner, um den es geht, mit dem Internet verbunden?
Spontan fällt mir zu dem Thema ein:
- VPN (PSK oder oder mit Zertifikaten)
- generelles Sperren von IP Adressen aus Ländern, aus denen ohnehin keine autorisierten Zugriffe zu erwarten sind.
- evtl. Knockd
 
Mir ist der Name wieder eingefallen: fail2ban

Das es noch bessere Ansätze gibt, steht ausser Frage. Das Skript brauchte Leserecht auf bestimmte Logs. Daher lief es unter root oder mit umständlichen Lösungen. Sowas kann auch nach hinten losgehen.
Bei SSH-Zugängen z.B. wird empfohlen das root sich nicht anmelden darf und die Passwortabfrage ausgeschaltet wird und nur auf Schlüssel gesetzt wird.

Gruß Malte
 
Hallo!
Ich habe eine Fritzbox als Router und 2 Ethernet Leitungen, wobei 1 von Gästen benutzt wird. Programmiertechnisch habe ich eigentlich keine Ahnung.
@maceis: wie sperre ich denn IP-Adressen? Ich kenne nur das Freigeben von Ports. Scheinbar gibts da keine eingebaute (aber versteckte) Funktion in MAC-OS.
 
wenn Du eine FritzBox hast, kann sich eh' keiner bei Dir anmelden...

Und ich unterstelle jetzt mal, dass Du in der FritzBox keine Ports weiter geleitet hast, da Du nichts davon geschrieben hast...
 
Port weiterleiten? Wie ist das gemeint? Keine Ahnung, vielleicht habe ich das gemacht ohne zu wissen.
 
Die Fritzbox macht NAT (network adress translation). Die Rechner, die in Deinem internen Netz unterwegs sind, senden die Anfragen über die Fritzbox ins Netz. Vom Netz aus, sieht es so aus, als ob nur ein Gerät kommuniziert, nämlich die Box. Diese hat eine IP vom Provider und alle Anfragen von innen werdenvon ihr versendet.
Die Antworten verteilt die Box dann auf die internen Rechner, denn sie merkt sich wer nach Google gefragt hat und welcher Rechner ne Mail abholen wollte.
Kommt nun eine Antwort auf eine Frage die keiner gestellt hat, also z.B. ne Antwort von spiegel.de und die Fritzbox findet keine passende Anfrage, dann wird das Antwortpaket verworfen.
Es kann aber sein, dass jemand intern einen eigenen Serverdienst laufen lassen will. Dann kann man der Fritzbox sagen, dass alle Anfragen an z.B. FTP-Server durchlassen soll und zwar auf den Rechner XYZ. Die Serverdienste werden meistens durch bestimmt Ports identifiziert. HTTP ist meistens auf dem Port 80, also in der Art 127.0.0.1:80.
Wenn sich jemand nun vom Netz aus auf Deinen Mac einloggen will, kann er das nicht, weil die Anfrage nicht ohne geänderte Einstellungen durchgelassen werden.
Ist vielleicht nicht ganz richtig, aber vom Prinzip her sollte es Dir nun erklären was gemeint ist.

Gruß Malte
 
Hallo!
Vielen Dank für die Erklärung. Mit anderen Worten bauche ich mir um "Hacker" keine Sorgen zu machen. Aber was ich mich auch noch frage: kann ich illegale Downloads (von meinem Gastanschluss) durch die Portfreigabe unterbinden oder wenigstens erschweren? Da ich das selber nicht mache, habe ich überhaupt keine Ahnung über welche Einstellungen das geht oder nicht geht. Aber wenn das irgend ein Gast macht, bin ich dran, weil es mein Anschluss ist.
Gruss
Chris
 
Wenn du davor Angst hast, solltest du die betreffenden "Gäste" lieber gar nicht an den Rechner lassen.
Der Rechner kann sicher nicht beurteilen, ob ein Download legal oder illegal ist, da ist ja kein Etikett drauf. Du könntest das allenfalls wie bei Kindersicherungen einschränken, indem du den Zugang zu bestimmten Webseiten sperrst, ist aber aufwendig, und du weist ja nie, auf welchen anderen Seiten auch noch illegale Download-Angebote stehen.
 
Wenn es von Deinem Anschluss aus erfolgt ist die Argumentation immer schwierig. Selbst wenn Du beweisen kannst (Logfile des Routers, die Fritzbox kann das glaub ich nicht ohne Umwege).

Aber wenn der Verdacht einmal besteht, ist zumindest Dein Rechner für geraume Zeit weg.

Also, lass' keine Gäste in Dein Netz und gut.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten