BotFence Konfiguration: Blockierungsoptionen und Quellen

Dies sind die Einstellungen für die automatische Blockierung angreifender IP-Adressen in BotFence. Sie können einstellen welche Quellen BotFence bezüglich Angriffen überwacht und bei wieviel fehlgeschlagener Logins die IP-Adresse jeweils in der Firewall blockiert und wieder erlaubt wird.

Einstellungen auf dieser Seite:

• Blockierung: Definieren Sie nach wie vielen fehlgeschlagenen Anmeldeversuchen die IP-Adresse des Angreifers blockiert wird und nach wie vielen Stunden sie wieder erlaubt wird. Die ersten beiden Werte stellen ein nach wie vielen Versuchen (pro Stunde / pro 24 Stunden) eine IP-Adresse blockiert wird. Das nächste Werte-paar ist für die Abwehr von Botnets gedacht - ganzen Netzwerken von Computern die von verschiedenen Adressen gleichzeitig versuchen Sie anzugreifen. Hiermit werden solche IP's gesperrt wenn innerhalb einer Stunde / innerhalb 24 Stunden diese Anzahl von verschiedenen IPs überschritten wird die den gleichen Kontonamen angreifen.
• Angriffsziele: Konfigurieren Sie welche Quellen für mögliche Angriffe überwacht werden sollen.
  • Windows Anmeldeversuche: Lässt BotFence fehlgeschlagene Windows-Anmeldeversuche (z.B. per Remotedesktop) überwachen
  • SQL Server: SQL server ist eines der am häufigsten angegriffenen Ziele in allen Systemen - Hack-Bots versuchen sich fast immer als Superuser "sa" anzumelden.
  • Exchange/SMTP: Überwachung von fehlgeschlagenen Exchange Server bzw. SMTP Auth Anmeldeversuchen einschalten. Hier muss noch der Pfad zu den Logdateien der Exchange SMTP Empfangskonnektoren angegeben werden. BotFence findet den Pfad per Exchange Shellkommando allerdings meist schon selbst.
  • FTP: Überwachung der FTP Protokolldateien bezüglich fehlgeschlagener FTP-Anmeldungen. Bitte hier den übergeordneten Protokollordner konfigurieren - BotFence prüft alle Unterordner dieses Ordners.
  • Filezilla FTP: Überwachung der Filezilla (Softwareprodukt) FTP Protokolldateien bezüglich fehlgeschlagener FTP-Anmeldungen. Bitte hier das Protokollfile konfigurieren das überprüft werden soll.
  • Fehlt noch etwas?: Wenn Sie eine weitere Quelle (Protokolldatei oder Ereignisanzeige z.B.) haben - ein spezielles Programm o.ä. lassen Sie uns das bitte wissen. Wir suchen zur Zeit aktiv nach weiteren Quellen für Angriffsinformation die wir in das System integrieren wollen. Kurze Email an support@servolutions.de reicht.