Startseite Pinnwand Tor Web Proxy Cyber-Attacken

Sprache wählen:

IP-Sicherheit

Wir sind bestrebt, die Integrität unseres Netzwerks zu wahren, indem wir über alle Cyberangriffe, die auf unsere Server gerichtet sind, Bericht erstatten. Wir sind fest davon überzeugt, dass die Überwachung und Meldung von IP-Angriffen wichtig ist. Zu diesem Zweck haben wir eine Reihe von Massnahmen ergriffen, darunter die Erkennung solcher Angriffe, das Sperren von IP-Adressen und die Meldung dieser Vorfälle an mehrere Stellen. Darüber hinaus nehmen wir Kontakt mit den veröffentlichten Missbrauchskontakten der IP-Adressen der Angreifer auf.

Aktuelle Situation

Der aktuelle Status wurde von der IT-Abteilung und ihren Überwachungstools als «KRITISCH» eingestuft.

Attacken pro Stunde: 330
derzeit gesperrte IP-Adressen: 511
gesperrte IP-Adressen pro Stunde: 6
die meisten Angreifer kamen aus: Iran (64), Vereinigte Staaten (49), Indonesien (46), Hongkong (34)

Diagramme

Auflösung wählen: Rohdaten, Tag
Anzahl Elemente wählen: 10, 20, 30

Gesperrte IP-Adressen nach Zeit

bannedips#Gesperrte%20IP-Adressen%20nach%20Zeit#10##png#IR#SafeshipNetworks Wenn Sie dies lesen können, unterstützt Ihr Browser nicht die notwendigen Javascripts. Probieren sie die statische Version dieser Seite.

Gesperrte IP-Adressen und Attacken pro stunde

perhour#Gesperrte%20IP-Adressen%20und%20Attacken%20pro%20stunde#10##png#IR#SafeshipNetworks Wenn Sie dies lesen können, unterstützt Ihr Browser nicht die notwendigen Javascripts. Probieren sie die statische Version dieser Seite.

Staaten mit den meisten gesperrten IP's

topcountry#Staaten%20mit%20den%20meisten%20gesperrten%20IP%27s#10##png#IR#SafeshipNetworks Wenn Sie dies lesen können, unterstützt Ihr Browser nicht die notwendigen Javascripts. Probieren sie die statische Version dieser Seite.

IP-Netzwerke/Organisationen mit den meisten gesperrten IP's

toporgnet#IP-Netzwerke%2FOrganisationen%20mit%20den%20meisten%20gesperrten%20IP%27s#10##png#IR#SafeshipNetworks Wenn Sie dies lesen können, unterstützt Ihr Browser nicht die notwendigen Javascripts. Probieren sie die statische Version dieser Seite.

Blockierte IP's pro Staat über Zeit

Staat wählen

bannedips_country#Blockierte%20IP%27s%20pro%20Staat%20%C3%BCber%20Zeit#10##png#IR#SafeshipNetworks Wenn Sie dies lesen können, unterstützt Ihr Browser nicht die notwendigen Javascripts. Probieren sie die statische Version dieser Seite.

Blockierte IP's pro Netzwerk/Organisation über Zeit

Netzwerk wählen

bannedips_orgnet#Blockierte%20IP%27s%20pro%20Netzwerk%2FOrganisation%20%C3%BCber%20Zeit#10##png#IR#SafeshipNetworks Wenn Sie dies lesen können, unterstützt Ihr Browser nicht die notwendigen Javascripts. Probieren sie die statische Version dieser Seite.

Woher die Daten stammen

Fail2Ban

Wir benutzen einen Dienst namens Fail2Ban.

Fail2ban (sinngemäss «Fehlschlag führt zum Bann») ist ein in Python geschriebenes Intrusion Prevention System (Framework zur Vorbeugung gegen Einbrüche), das auf allen POSIX-Betriebssystemen läuft, die ein manipulierbares Paketfiltersystem oder eine Firewall besitzen (z. B. iptables unter Linux).

https://de.wikipedia.org/wiki/Fail2ban

Funktionalität

Der Hauptzweck von fail2ban ist das Bestimmen und Blockieren bestimmter IP-Adressen, die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen. fail2ban ermittelt aus Log-Dateien (u. a. /var/log/pwdfail, /var/log/auth.log oder /var/log/apache2/error.log) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen. Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.

https://de.wikipedia.org/wiki/Fail2ban

Statistiken

Alle 15 Minuten zeichnet ein Skript auf unseren Servern den gegenwärtigen Status (einschliesslich aller gesperrten IPs) auf. Diese Daten werden in einer Datenbank gespeichert.

GeoIP®

Um die Geolokalisierung einer IP-Adresse yu bestimmen, nutzen wir einen Dienst namens GeoIP®. Die Daten werden von einer Firma namens MaxMind, Inc. bereitgestellt. Unsere lokalen GeoIP®-Datenbanken werden regelmässig mit den Aktuellen Daten von MaxMind aktualisiert.

Whois

Um den Namen des Netzwerkes oder Organisation in unsere Statistiken aufzunehmen, nutzen wir den globalen whois-Verzeichnisdienst. Wenn eine IP-Addresse gebannt wurde, führen wir eine Abfrage des der IP-Addresse zugehörigen Domainnamens (durch DNS aufgelöst) durch, sollte die Abfrage kein Ergebnis liefern, fragen wir die IP-Addresse ab. Die Ausgabe wird analysiert und, wenn vorhanden der Name der Organisation, ansonsten der Name des Netzwerkes extrahiert. Die Daten werden für eine Woche zwischengespeichert, um unnotwendige Abfragen zu verhindern.

Abusix Missbrauchskontaktdatenbank

Da wir Missbrauchsmeldungen per E-Mail an die zuständigen Stellen senden, benötigen wir dafür eine E-Mail-Adresse. Diese erhalten wir über die «Abuse Contact DB», die von einem Unternehmen namens Abusix, Inc. betrieben wird. Dieser Schritt kann von Fail2Ban selbst durchgeführt werden und die Daten werden über einen DNS-Lookup bereitgestellt.

Wohin wir diese Daten melden

Wir melden nur schwerwiegende Missbrauchsversuche, z.B. wenn wiederholt, auch nach zunächst kurzzeitigen Sperrens der IP-Adresse, Missbrauchsversuche getätigt werden.

E-Mail

An die durch abusix benannte E-Mail-Adresse schicken wir, nachdem die Daten von einem IT-Techniker verifiziert wurden, eine Nachricht über den Vorgang. Sie ist im XARF-Format und enthält zudem genaue Logdaten mit den exakten Zeitpunkten der Attacken.

XARF - eXtended Abuse Reporting Format

XARF ist ein JSON-basiertes Format für die Meldung von Missbrauch, Betrug, Viren oder anderen Problemen mit E-Mail-Nachrichten. Es wurde von abusix definiert.

www.blocklist.de

Bei www.blocklist.de handelt es sich um einen freien und freiwilligen Service von Abuse-Spezialisten, welche eine große Anzahl an SSH-, Mail-, FTP-, Webserver-Attacken und andere auf ihren Servern erhalten bzw. ausgesetzt sind.
Zu unseren Aufgaben gehört es, die entsprechenden Abuse-Abteilungen der infizierten PCs bzw. Servern zeitnah eine Information zukommen zu lassen, sodass schnellstmöglich eine Überprüfung der Infizierten Systeme durchgeführt werden kann.

https://www.blocklist.de/de/index.html

Attacken gemeldet: 2'300 - Berichte erzeugt: 354

Darüber hinaus bietet www.blocklist.de DNS-Blocklisten an, mit denen bekannte Angreifer blockiert werden können, bevor sie tatsächlich angreifen. Wir sind dabei, diese Dienste zu implementieren, wodurch die Anzahl der Angriffe auf unsere Server erheblich reduziert werden könnte.

abuseIPDB

Ähnlich wie www.blocklist.de bietet abuseIPDB LLC einen Dienst an, mit dem Benutzer Angriffe melden können und bietet eine umfassende API zum Nachschlagen von IP-Adressen, um festzustellen, ob sie Angreifern gehören.