Password Spraying ist eine weit verbreitete Angriffsstrategie, bei der Angreifer versuchen, eine kleine Anzahl häufig genutzter Passwörter gegen viele Benutzerkonten gleichzeitig einzusetzen. Im Gegensatz zu klassischen Brute-Force-Angriffen bleibt der Angriff oft unentdeckt, da die Anzahl der Fehlversuche pro Benutzer gering ist. Auf Cisco-Routern und in Enterprise-Netzwerken können gezielte AAA-Policies, Monitoring und Event-Logging helfen, solche Angriffe zu erkennen und zu mitigieren.
Grundlagen von Password Spraying
Bei einem Password-Spraying-Angriff werden typische Passwörter wie Welcome123 oder Admin2024 gegen alle Benutzerkonten getestet. Durch die geringe Anzahl von Versuchen pro Konto entgeht der Angriff oft den üblichen Account-Lockout-Regeln.
- Angriffsmuster: wenige Fehlversuche pro Benutzer, viele Benutzer betroffen
- Ziel: möglichst unauffällige Kompromittierung von Accounts
- Betroffene Dienste: VTY/SSH, Web-Management, VPN-Zugänge
AAA-Policies zur Prävention
Die zentrale Authentifizierung, Autorisierung und Accounting (AAA) bietet effektive Mechanismen zur Mitigation:
Account-Lockout-Richtlinien
Durch temporäre Sperrungen nach einer definierten Anzahl von Fehlversuchen lässt sich die Wirksamkeit von Password Spraying deutlich reduzieren:
Router(config)# aaa local authentication attempts max-fail 3
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ localEmpfehlung: Kurze Sperrzeiten, um legitime Benutzer nicht zu stark zu beeinträchtigen.
Privilegien-Restriktionen
Benutzerkonten sollten nur minimale Rechte besitzen. Admin-Zugänge auf privilegierte Rollen beschränken:
Router(config)# username netops privilege 5 secret NetOpsPasswort!
Router(config)# username admin privilege 15 secret AdminPasswort!- Minimale Privilegien für Standardkonten
- Separate Konten für hochprivilegierte Administratoren
Event-Monitoring und Logging
Lückenloses Monitoring ist entscheidend, um Password-Spraying-Versuche frühzeitig zu erkennen:
Syslog konfigurieren
Router(config)# logging host 192.168.1.100
Router(config)# logging trap warnings
Router(config)# service timestamps log datetime msec localtimeWarnungen und Fehlversuche werden zentral erfasst und können analysiert werden.
AAA Accounting für Aktivitäten
Router(config)# aaa accounting exec default start-stop group tacacs+
Router(config)# aaa accounting commands 15 default start-stop group tacacs+Alle erfolgreichen und fehlgeschlagenen Logins werden protokolliert, sodass Angriffe nachvollziehbar werden.
Monitoring-Metriken und Alerts
Zur Erkennung von Password-Spraying-Angriffen eignen sich folgende Metriken:
- Hohe Anzahl fehlgeschlagener Logins über kurze Zeiträume
- Fehlversuche aus ungewöhnlichen IP-Bereichen
- Wiederholte Fehlversuche auf viele Benutzerkonten
- Abnormale Aktivität auf VTY-Linien oder Management-VRF
Automatisierte Alerts können via Syslog oder SNMP-Traps ausgelöst werden.
Zusätzliche Sicherheitsmaßnahmen
- SSH-Keys statt Passwörter für Admin-Zugänge
- Temporäre Vendor-Accounts zeitlich begrenzt
- Management VRF oder dediziertes Subnetz für Admin-Traffic
- Strong Password Policies erzwingen (
security passwords min-length 12 password strength-check)
- Regelmäßige Audits der Benutzerkonten und Zugriffsrechte
Fehlervermeidung und Notfallmaßnahmen
- Fallback-Accounts einrichten, um Lockout von legitimen Admins zu verhindern
- Failover-Mechanismen für AAA-Server testen
- Logs regelmäßig prüfen, um Angriffsversuche zu erkennen
- SSH-Keys regelmäßig rotieren
- ACLs und Firewall-Regeln auf Management-Interfaces prüfen
Zusammenfassung der CLI-Grundbausteine
- AAA mit Account-Lockout:
aaa local authentication attempts max-fail 3 aaa authentication login VTY-LOGIN group tacacs+ local - Benutzerkonten mit minimalen Rechten:
username netops privilege 5 secret NetOpsPasswort! username admin privilege 15 secret AdminPasswort! - Syslog für Monitoring:
logging host 192.168.1.100 logging trap warnings service timestamps log datetime msec localtime - AAA Accounting:
aaa accounting exec default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ - Passwortrichtlinien erzwingen:
security passwords min-length 12 password strength-check
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.