Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 0 replies
  • Subscribers 0 subscribers
  • Views 537 views
  • Users 0 members are here
Options
Suggested

Segnalazione feature request

eclipse79oldacct
Mi permetto di segnalare anche qui una feature request che credo sia abbastanza importante ma (francamente non ne capisco il motivo) scarsamente votata.

Ban ip address for x minutes if login fails

Si tratta di un semplice sistema di auto-ban degli indirizzi IP in caso di login fallite. Questo sistema è attualmente in funzione solo per l'accesso al webadmin, ma a mio avviso andrebbe esteso a tutte le funzioni del firewall (es. ssh, proxy smtp, vpn ssl, user portal, ecc). 

La ragione di questa richiesta è scaturita da un attacco brute force subito mesi fa sul proxy SMTP. Il proxy era configurato per consentire l’invio della posta elettronica da due account "locali" (si tratta di persone che fanno uso di palmari con account pop3/smtp) a prescindere dal loro indirizzo IP. A tal fine avevo aggiunto gli account nella lista utenti presente in Authenticated relay. 


Inoltre ho avuto modo di notare un flusso logico che non ritengo ottimizzato, il quale ha determinato la propagazione dell’attacco al nostro server di active directory. Attualmente, quando un utente effettua un login, prima viene stabilito se questo esiste e se la password immessa è corretta, poi viene verificato se l’account è autorizzato ad accedere alla risorsa (che nel nostro caso era il proxy SMTP). Di conseguenza, per 1000 tentativi di accesso non autorizzati, vengono effettuate 1000 query nel provider di autenticazione degli utenti locali, 1000 query nel provider di autenticazione degli utenti remoti (in questo caso active directory), poi si stabilisce se l'utente (autenticato) è autorizzato ad accedere al proxy. Probabilmente sarebbe più logico prima stabilire se lo username fornito è autorizzato ad accedere alla risorsa (nel nostro caso, verificare se è presente nell’elenco degli account elencati in Authenticated Relay), poi verificare che username e password siano corretti. Facendo uso della seconda metodologia, l'Astaro non avrebbe effettuato migliaia di query su active directory ma avrebbe gestito gli accessi non consentiti “in locale”, evitando così la propagazione dell’attacco ad altri sistemi.
Unfiltered HTML