SSHD Brute Force Attack

You can prevent external SSH hack attacks by only allowing SSH access from your Internal network and PPTP-Pool. Then when you need to access the Astaro box via SSH from outside, you just open a PPTP VPN first, and then run the SSH client. That way there is no accessible port 22 on the firewall's WAN interface to tempt anyone.

You can prevent external SSH hack attacks by only allowing SSH access from your Internal network and PPTP-Pool. Then when you need to access the Astaro box via SSH from outside, you just open a PPTP VPN first, and then run the SSH client. That way there is no accessible port 22 on the firewall's WAN interface to tempt anyone.

[ QUOTE ]
...That way there is no accessible port 22 on the firewall's WAN interface to tempt anyone. ....

[/ QUOTE ]

you're right - but isn't then port 1723 ready to become bruteforced instead of 22 ......

[ QUOTE ]
but isn't then port 1723 ready to become bruteforced instead of 22 ...... 

[/ QUOTE ]I have done ShielsUp scans using the Gibson Research site ( http://www.grc.com/ ), and the PPTP VPN port (1723) does not show as open, but VPN access is working.

The point is, that if you use remote VPN access to your system, then that is really the only feature you need to have available on the External interface, since everything else can be done inside the VPN.

I used to have the SSH port open on my External interface, but there were constant password guessing attempts against it. When port 22 is accessible to the outside, it does show up as such on port scans, and there will be attempts made to gain access through it.

hi velvet fog. i understand your pov and that's a verry good solution. this works great against "scanners". i just wanted to fresh up that the only security in pptp-access is the combination of user name and pw since there is no implementation by default to block ip's after a numerous of failed pptp logins. grc and so on are good addresses but it's just a question of the tools one is using.

to make it short -> i agree to your solution, it's good.

The trick is to use strong passwords. I use RADIUS authentication back to a Windows 2003 server which is configured for Microsoft password complexity with 8 character minimum length passwords. Password complexity means that the passwords contains upper and lower case characters as well as digits. Most symbols (those in the top row of your keyboard) can also be used. This provides several hundred billion password combinations. Guessing the VPN password is not that easy on the ASG installations that I have set up.

that's good. but a protection like access (and blocking ip's after a numerous wrong pw attempts) to webAdmin has implemented would be a great enhancement for the pptp server.....

also an option in webAdmin to define allowed networks for the pptp-server would be great from my pov, because i don't need pptp access from outside. i would be happy if i could allow only access from my wlan-network by one-click instead of messing with the console....

Nat them to nirvana.

DNAT from ANY to ext.IP port 1723 change port to "somewhere"

This should block all ppt attempts to your external interface. And the rule won't block the pptp attemps to your wlan interface. 

Chris

yes, that's a good workaround.