Password Spraying ist eine gezielte Angriffsmethode, bei der Angreifer eine begrenzte Anzahl von häufig genutzten Passwörtern gegen eine große Anzahl von Benutzerkonten ausprobieren. Im Gegensatz zu klassischen Brute-Force-Angriffen wird hierbei versucht, Account-Lockouts zu vermeiden, indem die Anzahl der Versuche pro Account niedrig gehalten wird. Für Netzwerkadministratoren ist es essenziell, geeignete AAA-Policies, Account-Lockout-Mechanismen und Monitoring-Lösungen zu implementieren, um diese Angriffe frühzeitig zu erkennen und zu verhindern.
Indikatoren für Password Spraying
Die Erkennung von Password-Spraying-Angriffen basiert auf Anomalien im Authentifizierungsverhalten:
Fehlgeschlagene Login-Versuche über mehrere Accounts
- Wiederholte Authentifizierungsfehler verteilt über viele Benutzerkonten
- Fehlermeldungen wie „Login invalid“ oder „Authentication failed“ ohne lokale Häufung
- Keine klassische Häufung pro Benutzer, daher schwerer zu erkennen als Brute-Force
show logging | include "Login invalid"
show aaa authentication failures
Netzwerkbasierte Indikatoren
- Gleichzeitige Verbindungsversuche aus derselben Quell-IP auf verschiedenen Accounts
- Plötzliche Zunahme von TCP-Verbindungen auf Port 22 (SSH) oder 23 (Telnet, falls noch aktiv)
- Anomalien bei Remote Management-Zugängen (HTTPS, SNMPv3)
show access-lists MGMT-ACL
show users
show flow monitor AUTH-FLOW
AAA-Policy zur Mitigation
Ein starkes AAA-Konzept ist die zentrale Verteidigungslinie gegen Password Spraying. Es sollte folgende Elemente enthalten:
Starke Authentifizierung
- Zentralisierte Authentifizierung über TACACS+ oder RADIUS
- Multi-Faktor-Authentifizierung (MFA) für alle Management-Zugänge
- Lokale Passwörter nur als Fallback, niemals primär verwenden
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
Account Lockout und Login Block
- Temporäre Sperren nach definierten Fehlversuchen, z. B. 5 Versuche in 60 Sekunden
- Automatische Entsperrung nach definiertem Zeitraum
- Konfiguration pro Line/VTY oder Interface, um Management Plane zu schützen
login block-for 60 attempts 5 within 60
line vty 0 4
login authentication default
exec-timeout 5 0
transport input ssh
Segmentation von Management-Zugriff
- Nur autorisierte Subnetze für Admin-Zugriff zulassen
- ACLs und VRF Management-Pfade trennen, um Blast-Radius zu reduzieren
- Rate-Limits auf TCP-Port 22 zur Abmilderung von Spraying-Versuchen
ip access-list extended MGMT-ACL
permit tcp any eq 22
deny ip any any
interface GigabitEthernet0/0
ip access-group MGMT-ACL in
Monitoring und Alerts
Frühe Detection ist entscheidend, um Schäden zu vermeiden. Dafür sollte die Infrastruktur kontinuierlich überwacht werden.
Syslog und SIEM Integration
- Logs aller Authentifizierungsversuche zentral sammeln
- Alerts bei ungewöhnlicher Verteilung von Fehlversuchen
- Correlation Rules für Password-Spraying-Indikatoren definieren
logging host 192.0.2.10
logging trap warnings
show logging
Telemetry und NetFlow
- Analyse der TCP-Session-Patterns auf SSH/HTTPS/Telnet
- Erkennung von ungewöhnlichen Zugriffsmustern
- Integration in Anomaly Detection Systeme
show flow monitor AUTH-FLOW
show telemetry streaming
Response-Playbook bei Detektion
Ein standardisiertes Vorgehen ermöglicht schnelle Reaktion ohne Ausfall der Produktion.
Containment
- Temporäre IP-Blockierung via ACL oder Firewall
- Anpassen der Login-Block-Parameter bei verdächtigen IPs
ip access-list extended TEMP-BLOCK
deny tcp host any eq 22
permit ip any any
interface GigabitEthernet0/0
ip access-group TEMP-BLOCK in
Investigation
- Analyse der Logs zur Identifikation betroffener Accounts
- Überprüfung von Passwörtern und AAA-Konfiguration
- Audit Trail prüfen und dokumentieren
Remediation
- Passwörter kompromittierter Accounts ändern
- Review und ggf. Anpassung der AAA-Policies
- Integration von MFA falls noch nicht vorhanden
Best Practices für kontinuierliche Prävention
- Regelmäßige Überprüfung der AAA-Konfigurationen und Login-Block-Parameter
- Kontinuierliches Monitoring von Authentifizierungen und Anomalien
- Simulation von Password-Spraying in Laborumgebung zur Testung von Policies
- Dokumentation von Vorfällen und Lessons Learned für Audit-Zwecke
Die konsequente Kombination aus AAA-Härtung, Account Lockout, IP-basierten Zugriffsrestriktionen und umfassendem Monitoring bildet die Grundlage, um Password-Spraying-Angriffe effektiv zu mitigieren, ohne legitime Administration zu beeinträchtigen. Gleichzeitig erhöht dies die Auditierbarkeit und die Security-Compliance im Enterprise-Umfeld.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
