Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 6440 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSH block password guessing not working

hnu
Hi,

I'm having issues setting up the SSH block password guessing feature properly.

In Definitions & Users -> Authentication Services -> Advanced -> Block password guessing I have set attempts to 3, block for 1800 secs, enabled drop packets and ticked SSH access in Facilities. The list of "Never block networks" is empty.

When I try false logins from another (non-local) remote server via SSH, I'm never getting blocked. I got 5 emails from UTM about a failed SSH login (5 is the limit), but I don't get the email stating that the IP has been blocked for 1800 seconds.

The SSH log shows that the device sees the failed logins: 

2015:01:12-11:50:41 gw-2 sshd[19005]: Failed password for root from  port 38604 ssh2

2015:01:12-11:50:42 gw-2 sshd[19005]: Failed password for root from  port 38604 ssh2

2015:01:12-11:50:43 gw-2 sshd[19005]: Failed password for root from  port 38604 ssh2

2015:01:12-11:50:43 gw-2 sshd[19005]: Connection closed by  [preauth]

2015:01:12-11:50:45 gw-2 sshd[19047]: Failed password for root from  port 38605 ssh2

2015:01:12-11:50:46 gw-2 sshd[19047]: Failed password for root from  port 38605 ssh2

2015:01:12-11:50:47 gw-2 sshd[19047]: Failed password for root from  port 38605 ssh2

2015:01:12-11:50:47 gw-2 sshd[19047]: Connection closed by  [preauth]

2015:01:12-11:50:48 gw-2 sshd[19216]: Failed password for root from  port 38606 ssh2

2015:01:12-11:50:49 gw-2 sshd[19216]: Failed password for root from  port 38606 ssh2

2015:01:12-11:50:50 gw-2 sshd[19216]: Failed password for root from  port 38606 ssh2

2015:01:12-11:50:50 gw-2 sshd[19216]: Connection closed by  [preauth]

2015:01:12-11:50:52 gw-2 sshd[19253]: Failed password for root from  port 38607 ssh2

2015:01:12-11:50:52 gw-2 sshd[19253]: Failed password for root from  port 38607 ssh2

2015:01:12-11:50:53 gw-2 sshd[19253]: Failed password for root from  port 38607 ssh2

2015:01:12-11:50:53 gw-2 sshd[19253]: Connection closed by  [preauth]

2015:01:12-11:50:55 gw-2 sshd[19291]: Failed password for root from  port 38608 ssh2

2015:01:12-11:50:56 gw-2 sshd[19291]: Failed password for root from  port 38608 ssh2

2015:01:12-11:50:56 gw-2 sshd[19291]: Failed password for root from  port 38608 ssh2

2015:01:12-11:50:56 gw-2 sshd[19291]: Connection closed by  [preauth]


The weird thing is that from time to time I get emails about some IP being blocked. I just don't seem to be able to block myself...

Thanks for the help.
hubsif.


This thread was automatically locked due to age.
Parents
  • 0
    I would argue that this is clearly a troubleshooting issue and not a Sophos issue. I love giving the Sophos gang a good verbal beating from time to time, but this time I just do see it as justifiable. 

    The argument that the service must be forward facing, but I'm unhappy with it being forward facing because someone might get in is an adaption issue you are going to have to deal with as an admin, not as a service. 

    I have changed the SSH port and gone to cert auth but that's not good enough, is hard to follow as well. I'm guessing the argument is supposed to be that you do not want the alerts that the bots are hopelessly trying to access the device? They're not going to get in so why not simply turn off the alerts? Only alert on successful logins and log everything else. 

    The attempts are a resource hog? I suppose I can see that but at the same time I've seen a 320 box take a 20 GiB DDoS reflection attack and handle it with little to no impact on that production network. Fix the hardware bottle neck if there truly is one. My guess is the hard drive, start there.

    At the end of the day you have to make good, dynamic, adaptive choices...
Reply
  • 0
    I would argue that this is clearly a troubleshooting issue and not a Sophos issue. I love giving the Sophos gang a good verbal beating from time to time, but this time I just do see it as justifiable. 

    The argument that the service must be forward facing, but I'm unhappy with it being forward facing because someone might get in is an adaption issue you are going to have to deal with as an admin, not as a service. 

    I have changed the SSH port and gone to cert auth but that's not good enough, is hard to follow as well. I'm guessing the argument is supposed to be that you do not want the alerts that the bots are hopelessly trying to access the device? They're not going to get in so why not simply turn off the alerts? Only alert on successful logins and log everything else. 

    The attempts are a resource hog? I suppose I can see that but at the same time I've seen a 320 box take a 20 GiB DDoS reflection attack and handle it with little to no impact on that production network. Fix the hardware bottle neck if there truly is one. My guess is the hard drive, start there.

    At the end of the day you have to make good, dynamic, adaptive choices...
Children
No Data