Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 25 subscribers
  • Views 1573 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Login-Versuche limitieren

patrick.schneider
Hallo,

wir haben hier hinter einer Astaro ASG 120 7.305 einen W2k3 Server mit IIS-FTP-Server stehen. Der Port 21 wird von aussen an diesen weitergeleitet, damit man von extern auf den internen FTP-Server zugreifen kann. Das funktioniert auch soweit.
Was leider auch dazu führt, daß mittlerweile im Sekundentakt versucht wird, sich per Brute-Force auf dem FTP-Server einzuloggen. Das Windows-Ereignisprotokoll ist voll davon...

Da der IIS leider von sich aus keine Möglichkeiten bietet, die Login-Versuche pro Zeit zu begrenzen (1 Versuch pro 5 Sek zB), würde ich das gerne in der Astaro realisieren, bin aber bisher noch nicht fündig geworden. 
Hat da jemand eine Idee oder einen Vorschlag, der mich in die richtige Richtung lenkt?

Vielen Dank!

Gruß,

Patrick Schneider


This thread was automatically locked due to age.
Parents
  • 0
    Ich würde die empfehlen den FTP auf nen völlig anderen Port zulegen. Das kannst du per NAT ganz einfach machen. Nimm zum Beispiel den Port 27852. Diesen schaltest du in der Astaro frei und sagst alles was auf diesem Port reinkommt, soll auf den Port 21 deines IIS weitergeleitet werden. Schon hast du die meisten Bruteforcer vom Hals, da diese erstmal scannen müssten um den IIS zu finden.
    Das andere dürfte schwerlich möglich sein, da du ja dann etwas haben müsstest was auf OSI Schicht 7 in den Stream schaut und dort liest, das die Verbindung abgewiesen wurde. Weil rein netzwerktechnisch (Layer 3) kommt eine normale Verbindung zustande, das Ding ist für die Astaro also als "dat läuft" erledigt.

    Mach das mit nem anderen Port, ist einfacher.... [;)]
  • 0 in reply to Schroeder
    I would also make sure that IPS is on for FTP servers.

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I would also make sure that IPS is on for FTP servers.

    It was already enabled, but didn't stop the ftp-hammering. [:(]

    Kind Regards,
    Patrick
  • 0 in reply to patrick.schneider
    Das meine ich auf Anwendungsebene ... Der IIS muss natürlich conform den Request abweisen, ergo, eine Standartantwort zurückgeben, diese zählt die Astaro und sperrt den "Hammerer" damit aus.
    Ich versuche das die Tage mal nachzuspielen, vielleicht finde ich etwas für dich.

    Grüße

    Björn
Reply
  • 0 in reply to patrick.schneider
    Das meine ich auf Anwendungsebene ... Der IIS muss natürlich conform den Request abweisen, ergo, eine Standartantwort zurückgeben, diese zählt die Astaro und sperrt den "Hammerer" damit aus.
    Ich versuche das die Tage mal nachzuspielen, vielleicht finde ich etwas für dich.

    Grüße

    Björn
Children
No Data
Unfiltered HTML