Brute-Force & Credential Stuffing stoppen: Rate Limits und Lockouts

Brute-Force-Angriffe und Credential Stuffing stellen eine der größten Bedrohungen für Remote-Access-Systeme, VPNs und Telco-Administrationsplattformen dar. Angreifer nutzen automatisierte Tools, um Passwörter zu erraten oder gestohlene Credentials mehrfach auszuprobieren. Ohne geeignete Schutzmechanismen können solche Attacken nicht nur Sicherheitslücken offenlegen, sondern auch die Performance von Authentifizierungssystemen beeinträchtigen. In diesem Artikel erläutern wir praxisorientiert, wie Rate Limits, Lockouts und weitere Sicherheitsmaßnahmen implementiert werden können, um diese Angriffe effektiv zu stoppen.

1. Brute-Force und Credential Stuffing verstehen

1.1 Definitionen

Bei einem Brute-Force-Angriff versucht ein Angreifer systematisch alle möglichen Passwortkombinationen, um Zugriff zu erhalten. Credential Stuffing nutzt bereits kompromittierte Benutzernamen-Passwort-Kombinationen aus anderen Diensten.

1.2 Risiken im Telco-Umfeld

Telekommunikationsnetze sind hochgradig sensibel. Kompromittierte Admin-Accounts können direkten Zugriff auf VPN-Gateways, Core-Router oder Management-Systeme ermöglichen. Das Risiko von Serviceunterbrechungen und Datenverlust ist daher besonders hoch.

2. Rate Limiting als erste Verteidigungslinie

2.1 Funktionsweise

Rate Limiting begrenzt die Anzahl von Login-Versuchen pro Benutzer oder IP-Adresse innerhalb eines definierten Zeitraums:

• Beispiel: maximal 5 Login-Versuche pro 5 Minuten
• Automatisierte Tools werden so effektiv ausgebremst
• Legitime Benutzer werden durch kurze Sperrzeiten minimal beeinträchtigt

2.2 Umsetzung auf VPN-Gateways

Moderne VPN-Gateways und RADIUS-Server unterstützen Rate Limiting meist nativ. Beispiel für ein Cisco ASA-Setup:

aaa authentication login VPN_LOGIN group radius local
username admin password  privilege 15
aaa local authentication attempts 5 interval 300
aaa local authentication lockout 600

3. Account Lockouts

3.1 Mechanismus

Bei Überschreiten einer definierten Anzahl fehlerhafter Login-Versuche wird der Account temporär gesperrt. Dies schützt vor schnellen Brute-Force-Attacken, kann aber auch zu Denial-of-Service führen, wenn Angreifer gezielt Accounts blockieren.

3.2 Best Practices

• Lockout-Dauer begrenzen, z. B. 10–15 Minuten
• Benachrichtigung der Benutzer per E-Mail bei Lockout
• Admin-Konten besonders überwachen und ggf. längere Lockouts oder zusätzliche MFA-Stufen

4. IP-basierte Sperren

4.1 Temporäre Blockierung verdächtiger IPs

Zusätzlich zu Account-Lockouts können wiederholt auffällige IP-Adressen temporär gesperrt werden. Dies erhöht die Sicherheit gegen Credential Stuffing von externen Quellen:

• Firewall- oder VPN-Gateway-Funktionalität nutzen
• Beispiel für pfSense:

# pfSense Firewall Rule
pass in quick on WAN proto tcp from  to any port 443 keep state
block in quick on WAN from  to any port 443

5. MFA und adaptive Authentifizierung

5.1 Zwei-Faktor-Authentifizierung

MFA ist ein starker Schutz gegen Brute-Force und Credential Stuffing, da gestohlene Passwörter alleine keinen Zugriff erlauben:

• TOTP (Time-based One-Time Passwords)
• Push-Benachrichtigungen auf Smartphones
• Hardware-Token für kritische Accounts

5.2 Adaptive Authentifizierung

Einige Systeme bewerten Risikoindikatoren wie IP-Standort, Device-Compliance oder Zeitfenster, um zusätzliche Authentifizierung anzufordern:

• Verdächtiger Login aus ungewohntem Land → MFA erforderlich
• Bekannte sichere Devices → Standard-MFA

6. Monitoring und Alerting

6.1 Log-Analyse

Alle Login-Versuche sollten protokolliert werden. Analyse-Tools erkennen Muster typischer Credential-Stuffing-Attacken:

• Plötzliche Login-Spikes auf einem Account
• Versuche von vielen IP-Adressen auf denselben Account
• Fehlerhafte Logins außerhalb normaler Arbeitszeiten

6.2 Alerts und Incident Response

Bei Verdacht auf Credential Stuffing sofortige Benachrichtigung an Security Operations:

# Beispiel Alert-Regel
if failed_login_count(account) > threshold:
   send_email(admin, "Möglicher Brute-Force-Angriff erkannt")
   temporarily_lock(account)

7. Kombinierte Strategie für Telcos

• Rate Limiting für alle Zugänge implementieren
• Temporäre Lockouts nach definierter Fehlversuch-Anzahl
• IP-basierte Sperren für auffällige Quellen
• MFA verpflichtend für Admin- und Partner-Zugänge
• Adaptive Authentifizierung basierend auf Risikoindikatoren
• Kontinuierliches Monitoring und Alerts
• Regelmäßige Überprüfung der Policies und Simulation von Brute-Force-Angriffen zur Validierung

Durch die Kombination dieser Maßnahmen können Telcos Brute-Force und Credential-Stuffing-Angriffe wirkungsvoll stoppen, ohne die Benutzerfreundlichkeit signifikant zu beeinträchtigen. Eine kontinuierliche Anpassung der Rate Limits, Lockout-Parameter und MFA-Strategien ist entscheidend, um neue Angriffsmethoden abzuwehren und die Sicherheit im Remote Access nachhaltig zu gewährleisten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.