Password Spraying mitigieren: AAA-Policies und Event-Monitoring

Password Spraying ist eine weit verbreitete Angriffsstrategie, bei der Angreifer versuchen, eine kleine Anzahl häufig genutzter Passwörter gegen viele Benutzerkonten gleichzeitig einzusetzen. Im Gegensatz zu klassischen Brute-Force-Angriffen bleibt der Angriff oft unentdeckt, da die Anzahl der Fehlversuche pro Benutzer gering ist. Auf Cisco-Routern und in Enterprise-Netzwerken können gezielte AAA-Policies, Monitoring und Event-Logging helfen, solche Angriffe zu erkennen und zu mitigieren.

Grundlagen von Password Spraying

Bei einem Password-Spraying-Angriff werden typische Passwörter wie Welcome123 oder Admin2024 gegen alle Benutzerkonten getestet. Durch die geringe Anzahl von Versuchen pro Konto entgeht der Angriff oft den üblichen Account-Lockout-Regeln.

• Angriffsmuster: wenige Fehlversuche pro Benutzer, viele Benutzer betroffen
• Ziel: möglichst unauffällige Kompromittierung von Accounts
• Betroffene Dienste: VTY/SSH, Web-Management, VPN-Zugänge

AAA-Policies zur Prävention

Die zentrale Authentifizierung, Autorisierung und Accounting (AAA) bietet effektive Mechanismen zur Mitigation:

Account-Lockout-Richtlinien

Durch temporäre Sperrungen nach einer definierten Anzahl von Fehlversuchen lässt sich die Wirksamkeit von Password Spraying deutlich reduzieren:

Router(config)# aaa local authentication attempts max-fail 3
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local

Empfehlung: Kurze Sperrzeiten, um legitime Benutzer nicht zu stark zu beeinträchtigen.

Privilegien-Restriktionen

Benutzerkonten sollten nur minimale Rechte besitzen. Admin-Zugänge auf privilegierte Rollen beschränken:

Router(config)# username netops privilege 5 secret NetOpsPasswort!
Router(config)# username admin privilege 15 secret AdminPasswort!

• Minimale Privilegien für Standardkonten
• Separate Konten für hochprivilegierte Administratoren

Event-Monitoring und Logging

Lückenloses Monitoring ist entscheidend, um Password-Spraying-Versuche frühzeitig zu erkennen:

Syslog konfigurieren

Router(config)# logging host 192.168.1.100
Router(config)# logging trap warnings
Router(config)# service timestamps log datetime msec localtime

Warnungen und Fehlversuche werden zentral erfasst und können analysiert werden.

AAA Accounting für Aktivitäten

Router(config)# aaa accounting exec default start-stop group tacacs+
Router(config)# aaa accounting commands 15 default start-stop group tacacs+

Alle erfolgreichen und fehlgeschlagenen Logins werden protokolliert, sodass Angriffe nachvollziehbar werden.

Monitoring-Metriken und Alerts

Zur Erkennung von Password-Spraying-Angriffen eignen sich folgende Metriken:

• Hohe Anzahl fehlgeschlagener Logins über kurze Zeiträume
• Fehlversuche aus ungewöhnlichen IP-Bereichen
• Wiederholte Fehlversuche auf viele Benutzerkonten
• Abnormale Aktivität auf VTY-Linien oder Management-VRF

Automatisierte Alerts können via Syslog oder SNMP-Traps ausgelöst werden.

Zusätzliche Sicherheitsmaßnahmen

• SSH-Keys statt Passwörter für Admin-Zugänge
• Temporäre Vendor-Accounts zeitlich begrenzt
• Management VRF oder dediziertes Subnetz für Admin-Traffic
• Strong Password Policies erzwingen (

  security passwords min-length 12
  password strength-check

  )

• Regelmäßige Audits der Benutzerkonten und Zugriffsrechte

Fehlervermeidung und Notfallmaßnahmen

• Fallback-Accounts einrichten, um Lockout von legitimen Admins zu verhindern
• Failover-Mechanismen für AAA-Server testen
• Logs regelmäßig prüfen, um Angriffsversuche zu erkennen
• SSH-Keys regelmäßig rotieren
• ACLs und Firewall-Regeln auf Management-Interfaces prüfen

Zusammenfassung der CLI-Grundbausteine

• AAA mit Account-Lockout:

  aaa local authentication attempts max-fail 3
  aaa authentication login VTY-LOGIN group tacacs+ local

• Benutzerkonten mit minimalen Rechten:

  username netops privilege 5 secret NetOpsPasswort!
  username admin privilege 15 secret AdminPasswort!

• Syslog für Monitoring:

  logging host 192.168.1.100
  logging trap warnings
  service timestamps log datetime msec localtime

• AAA Accounting:

  aaa accounting exec default start-stop group tacacs+
  aaa accounting commands 15 default start-stop group tacacs+

• Passwortrichtlinien erzwingen:

  security passwords min-length 12
  password strength-check

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.