Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 25 subscribers
  • Views 1578 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Login-Versuche limitieren

patrick.schneider
Hallo,

wir haben hier hinter einer Astaro ASG 120 7.305 einen W2k3 Server mit IIS-FTP-Server stehen. Der Port 21 wird von aussen an diesen weitergeleitet, damit man von extern auf den internen FTP-Server zugreifen kann. Das funktioniert auch soweit.
Was leider auch dazu führt, daß mittlerweile im Sekundentakt versucht wird, sich per Brute-Force auf dem FTP-Server einzuloggen. Das Windows-Ereignisprotokoll ist voll davon...

Da der IIS leider von sich aus keine Möglichkeiten bietet, die Login-Versuche pro Zeit zu begrenzen (1 Versuch pro 5 Sek zB), würde ich das gerne in der Astaro realisieren, bin aber bisher noch nicht fündig geworden. 
Hat da jemand eine Idee oder einen Vorschlag, der mich in die richtige Richtung lenkt?

Vielen Dank!

Gruß,

Patrick Schneider


This thread was automatically locked due to age.
Parents
  • 0
    Ich würde die empfehlen den FTP auf nen völlig anderen Port zulegen. Das kannst du per NAT ganz einfach machen. Nimm zum Beispiel den Port 27852. Diesen schaltest du in der Astaro frei und sagst alles was auf diesem Port reinkommt, soll auf den Port 21 deines IIS weitergeleitet werden. Schon hast du die meisten Bruteforcer vom Hals, da diese erstmal scannen müssten um den IIS zu finden.
    Das andere dürfte schwerlich möglich sein, da du ja dann etwas haben müsstest was auf OSI Schicht 7 in den Stream schaut und dort liest, das die Verbindung abgewiesen wurde. Weil rein netzwerktechnisch (Layer 3) kommt eine normale Verbindung zustande, das Ding ist für die Astaro also als "dat läuft" erledigt.

    Mach das mit nem anderen Port, ist einfacher.... [;)]
  • 0 in reply to Schroeder
    Ich würde die empfehlen den FTP auf nen völlig anderen Port zulegen. Das kannst du per NAT ganz einfach machen. Nimm zum Beispiel den Port 27852. Diesen schaltest du in der Astaro frei und sagst alles was auf diesem Port reinkommt, soll auf den Port 21 deines IIS weitergeleitet werden. Schon hast du die meisten Bruteforcer vom Hals, da diese erstmal scannen müssten um den IIS zu finden.

    Das würde ich sofort machen, ist aber "nicht benutzerfreundlich genug"... Zuhause am Router ist auch nur ein Port gaaaanz weit oben für SSH offen, dadurch kommt dann der ganze Traffic schön verschlüsselt rein.

    Das andere dürfte schwerlich möglich sein, da du ja dann etwas haben müsstest was auf OSI Schicht 7 in den Stream schaut und dort liest, das die Verbindung abgewiesen wurde. Weil rein netzwerktechnisch (Layer 3) kommt eine normale Verbindung zustande, das Ding ist für die Astaro also als "dat läuft" erledigt.

    Ich dachte eigentlich, daß es die Spezialität der Astaro ist, Netzwerkverbindungungen auf Anwendungsprotokollebene zu filtern... [:S]

    Gruß,
    Patrick Schneider
Reply
  • 0 in reply to Schroeder
    Ich würde die empfehlen den FTP auf nen völlig anderen Port zulegen. Das kannst du per NAT ganz einfach machen. Nimm zum Beispiel den Port 27852. Diesen schaltest du in der Astaro frei und sagst alles was auf diesem Port reinkommt, soll auf den Port 21 deines IIS weitergeleitet werden. Schon hast du die meisten Bruteforcer vom Hals, da diese erstmal scannen müssten um den IIS zu finden.

    Das würde ich sofort machen, ist aber "nicht benutzerfreundlich genug"... Zuhause am Router ist auch nur ein Port gaaaanz weit oben für SSH offen, dadurch kommt dann der ganze Traffic schön verschlüsselt rein.

    Das andere dürfte schwerlich möglich sein, da du ja dann etwas haben müsstest was auf OSI Schicht 7 in den Stream schaut und dort liest, das die Verbindung abgewiesen wurde. Weil rein netzwerktechnisch (Layer 3) kommt eine normale Verbindung zustande, das Ding ist für die Astaro also als "dat läuft" erledigt.

    Ich dachte eigentlich, daß es die Spezialität der Astaro ist, Netzwerkverbindungungen auf Anwendungsprotokollebene zu filtern... [:S]

    Gruß,
    Patrick Schneider
Children
No Data
Unfiltered HTML