Brute Force Mitigation: Lockouts, Rate Limits und Geo-Controls

Brute-Force-Angriffe gehören zu den häufigsten Bedrohungen für VPN-Gateways, Remote-Access-Systeme und Authentifizierungsdienste. Dabei versuchen Angreifer automatisiert eine Vielzahl von Benutzername-Passwort-Kombinationen, um Zugriff auf interne Systeme zu erhalten. Ohne geeignete Schutzmaßnahmen können solche Angriffe sowohl Sicherheitslücken ausnutzen als auch Systeme überlasten. Effektive Gegenmaßnahmen umfassen Account-Lockouts, Rate Limits und Geo-Controls. Diese Mechanismen reduzieren die Wahrscheinlichkeit erfolgreicher Angriffe erheblich und erhöhen die Widerstandsfähigkeit der Infrastruktur.

Grundlagen von Brute-Force-Angriffen

Bei einem Brute-Force-Angriff werden systematisch verschiedene Zugangsdaten ausprobiert. Automatisierte Skripte oder Botnetze können dabei Tausende von Login-Versuchen pro Minute durchführen. Besonders gefährdet sind öffentlich erreichbare Dienste wie VPN-Gateways, SSH-Zugänge oder Web-Login-Portale.

Typische Ziele von Brute-Force-Angriffen

• VPN-Authentifizierungsdienste
• SSH- oder RDP-Zugänge
• Webbasierte Login-Portale
• API-Endpunkte mit Authentifizierung

Risiken erfolgreicher Angriffe

• Unbefugter Zugriff auf interne Netzwerke
• Diebstahl sensibler Daten
• Installation von Malware oder Backdoors
• Seitliche Bewegung innerhalb des Netzwerks

Account Lockouts als erste Schutzmaßnahme

Account Lockouts blockieren Benutzerkonten nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche. Diese Maßnahme verhindert, dass Angreifer unbegrenzt Zugangsdaten ausprobieren können.

Best Practices für Lockout-Policies

• Lockout nach 5–10 fehlgeschlagenen Login-Versuchen
• Temporäre Sperrzeit von 15–30 Minuten
• Monitoring von gesperrten Konten
• Automatische Alarmierung bei ungewöhnlich vielen Lockouts

Beispiel Cisco ASA – Login Lockout

aaa local authentication attempts max-fail 5
aaa local authentication attempts lockout-time 900

Diese Konfiguration sperrt einen Benutzer nach fünf fehlgeschlagenen Login-Versuchen für 900 Sekunden (15 Minuten).

Rate Limits für Authentifizierungsversuche

Rate Limits begrenzen die Anzahl von Login-Versuchen pro Zeiteinheit oder pro IP-Adresse. Dadurch wird verhindert, dass automatisierte Bots eine hohe Anzahl von Anfragen in kurzer Zeit senden.

Typische Rate-Limiting-Strategien

• Begrenzung der Login-Versuche pro IP-Adresse
• Dynamische Verzögerungen nach mehreren Fehlversuchen
• Blockieren von IP-Adressen bei verdächtigen Aktivitäten

Beispiel Linux Firewall mit Rate Limit

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP

Diese Regel blockiert IP-Adressen, die mehr als fünf neue SSH-Verbindungen innerhalb von 60 Sekunden versuchen.

Geo-Controls zur Einschränkung von Login-Versuchen

Geo-Controls erlauben es, Zugriff basierend auf geografischen Regionen einzuschränken. Viele Brute-Force-Angriffe stammen aus bestimmten Regionen oder bekannten Botnetzen.

Vorteile von Geo-Filtering

• Reduzierung von Angriffsversuchen aus nicht relevanten Regionen
• Verbesserte Übersicht über legitime Login-Standorte
• Schnelle Blockierung verdächtiger Herkunftsländer

Beispiel Geo-Blocking auf einer Firewall

set firewall family inet filter GEO_BLOCK term BLOCK_COUNTRY from source-address 203.0.113.0/24
set firewall family inet filter GEO_BLOCK term BLOCK_COUNTRY then discard

In diesem Beispiel wird Traffic aus einem bestimmten IP-Bereich verworfen.

Kombination mehrerer Schutzmaßnahmen

Ein einzelner Schutzmechanismus reicht selten aus, um Brute-Force-Angriffe vollständig zu verhindern. Effektive Sicherheitsstrategien kombinieren mehrere Maßnahmen.

Mehrschichtige Sicherheitsstrategie

• Lockouts für Benutzerkonten
• Rate Limits auf Netzwerkebene
• Geo-Controls für verdächtige Regionen
• Multi-Faktor-Authentifizierung
• Intrusion Detection Systeme

Monitoring und Logging

Monitoring ist entscheidend, um Brute-Force-Angriffe frühzeitig zu erkennen. Logging-Systeme sammeln Informationen über Login-Versuche und Authentifizierungsfehler.

Wichtige Log-Daten

• IP-Adresse des Clients
• Zeitpunkt des Login-Versuchs
• Benutzername
• Ergebnis der Authentifizierung

Beispiel Syslog-Konfiguration

logging enable
logging trap warnings
logging host inside 10.10.0.50

Diese Konfiguration sendet sicherheitsrelevante Logs an einen zentralen Syslog-Server.

Integration mit Multi-Faktor-Authentifizierung

Selbst wenn ein Angreifer ein Passwort errät, kann Multi-Faktor-Authentifizierung (MFA) zusätzlichen Schutz bieten. MFA verlangt einen zweiten Authentifizierungsfaktor wie einen Einmalcode oder Hardware-Token.

Typische MFA-Verfahren

• Time-based One-Time Password (TOTP)
• Hardware-Token
• Push-Authentifizierung über mobile Apps
• Smartcard-basierte Authentifizierung

IP-Adressplanung zur Unterstützung von Sicherheitsmaßnahmen

Eine strukturierte IP-Adressierung erleichtert die Implementierung von Rate Limits, Geo-Filtern und ACLs.

Beispiel Netzsegmentierung

VPN Clients: 10.10.10.0/24
Admin Zugriff: 10.20.10.0/24
Management Netzwerk: 10.30.10.0/24

Subnetzberechnung

Angenommen, ein VPN-Netzwerk soll 150 Benutzer unterstützen:

Hosts = 150
Benötigte IP Adressen = 150 + 2 = 152
2 n >= 152
n = 8

Damit ergibt sich ein Subnetz mit 256 möglichen Adressen, also ein /24-Netz.

Best Practices zur Abwehr von Brute-Force-Angriffen

• Lockout-Policies für Benutzerkonten implementieren
• Rate Limits für Login-Versuche definieren
• Geo-Controls zur Einschränkung von Regionen nutzen
• Multi-Faktor-Authentifizierung verpflichtend einsetzen
• Monitoring und Logging zentralisieren
• Automatische Alerts bei ungewöhnlichen Login-Mustern konfigurieren
• Regelmäßige Sicherheitsüberprüfungen der Authentifizierungssysteme durchführen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.