Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 6440 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSH block password guessing not working

hnu
Hi,

I'm having issues setting up the SSH block password guessing feature properly.

In Definitions & Users -> Authentication Services -> Advanced -> Block password guessing I have set attempts to 3, block for 1800 secs, enabled drop packets and ticked SSH access in Facilities. The list of "Never block networks" is empty.

When I try false logins from another (non-local) remote server via SSH, I'm never getting blocked. I got 5 emails from UTM about a failed SSH login (5 is the limit), but I don't get the email stating that the IP has been blocked for 1800 seconds.

The SSH log shows that the device sees the failed logins: 

2015:01:12-11:50:41 gw-2 sshd[19005]: Failed password for root from  port 38604 ssh2

2015:01:12-11:50:42 gw-2 sshd[19005]: Failed password for root from  port 38604 ssh2

2015:01:12-11:50:43 gw-2 sshd[19005]: Failed password for root from  port 38604 ssh2

2015:01:12-11:50:43 gw-2 sshd[19005]: Connection closed by  [preauth]

2015:01:12-11:50:45 gw-2 sshd[19047]: Failed password for root from  port 38605 ssh2

2015:01:12-11:50:46 gw-2 sshd[19047]: Failed password for root from  port 38605 ssh2

2015:01:12-11:50:47 gw-2 sshd[19047]: Failed password for root from  port 38605 ssh2

2015:01:12-11:50:47 gw-2 sshd[19047]: Connection closed by  [preauth]

2015:01:12-11:50:48 gw-2 sshd[19216]: Failed password for root from  port 38606 ssh2

2015:01:12-11:50:49 gw-2 sshd[19216]: Failed password for root from  port 38606 ssh2

2015:01:12-11:50:50 gw-2 sshd[19216]: Failed password for root from  port 38606 ssh2

2015:01:12-11:50:50 gw-2 sshd[19216]: Connection closed by  [preauth]

2015:01:12-11:50:52 gw-2 sshd[19253]: Failed password for root from  port 38607 ssh2

2015:01:12-11:50:52 gw-2 sshd[19253]: Failed password for root from  port 38607 ssh2

2015:01:12-11:50:53 gw-2 sshd[19253]: Failed password for root from  port 38607 ssh2

2015:01:12-11:50:53 gw-2 sshd[19253]: Connection closed by  [preauth]

2015:01:12-11:50:55 gw-2 sshd[19291]: Failed password for root from  port 38608 ssh2

2015:01:12-11:50:56 gw-2 sshd[19291]: Failed password for root from  port 38608 ssh2

2015:01:12-11:50:56 gw-2 sshd[19291]: Failed password for root from  port 38608 ssh2

2015:01:12-11:50:56 gw-2 sshd[19291]: Connection closed by  [preauth]


The weird thing is that from time to time I get emails about some IP being blocked. I just don't seem to be able to block myself...

Thanks for the help.
hubsif.


This thread was automatically locked due to age.
Parents
  • 0
    It maybe a bug. I haven't been able to reproduce it on any of my devices. It seems to work as I would expect. Not sure if my expectations are different per se.

    At any rate. If this is something that worries you / keeps you up late at night consider

    Disallowing SSH from external sources
    Change the service port to a higher port number 10k-60k
    Disallow passwords, use certificates instead
    If you have a use case / want to use passwords over certs then simply follow good password policies. Aka very strong passwords, not simply strong, but twice as strong as the min requirements. If strong means 13 chars (A-Za-z0-9) then do 26 chars, etc. 

    Personally I couldn't make any reasonable argument to have SSH services on the firewall outward facing. If you have a need to access the firewall at this level VPN in to the network first then access the SSH service. Yes; I understand that makes it harder, but I understand that it makes it harder. Isn't that what you're really asking for? Security?
Reply
  • 0
    It maybe a bug. I haven't been able to reproduce it on any of my devices. It seems to work as I would expect. Not sure if my expectations are different per se.

    At any rate. If this is something that worries you / keeps you up late at night consider

    Disallowing SSH from external sources
    Change the service port to a higher port number 10k-60k
    Disallow passwords, use certificates instead
    If you have a use case / want to use passwords over certs then simply follow good password policies. Aka very strong passwords, not simply strong, but twice as strong as the min requirements. If strong means 13 chars (A-Za-z0-9) then do 26 chars, etc. 

    Personally I couldn't make any reasonable argument to have SSH services on the firewall outward facing. If you have a need to access the firewall at this level VPN in to the network first then access the SSH service. Yes; I understand that makes it harder, but I understand that it makes it harder. Isn't that what you're really asking for? Security?
Children
No Data