Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 12313 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Preventing Brute Force Attacks!!!!!

Sham
Is it possible to ban an IP addresses after X number of unsuccessful login attempts to a Windows XP Sp2 which is our SFTP server? Not to a particular account, which I know how to do, but to the whole machine. Or how to block ICMP request on external IP which use NAT to our internal network. 

We get hit pretty hard by brute force attacks trying to guess usernames and passwords, so this would really help get some load of the server. Does anyone know how to block these attacks? btw we have Astaro security gateway 320 V7. We have blocked the ICMP off the server but need to find a way to block those false IP addresses attempting to connect with different users and passwords. Please advice/help will be appreciate!! 

Thank you,


This thread was automatically locked due to age.
  • 0
    Hi, Sham, and welcome to the User BB!

    Interesting question.  My guess is that this needs to be handled with a function of the SFTP server, as it is the only entity that knows of the login failures.

    In some cases, you might want to upgrade to Astaro V8 so that you can do 'Country Blocking' (there are many other good reasons to upgrade!).

    In many cases, you can just block a few /24 networks:

    - Create a 'Network Group' "Public Addresses" containg the "(Address)" objects for all 'Additional Addresses' and the primary IPs of all external interfaces.  You must use these objects, and not manually-created 'Host' or 'Network' definitions.
    - Create a group "Hackers" containing the offending networks.
    - Create a 'Packet Filter' rule: 'Hackers -> Any -> Public Addresses : Drop'.



    Let us know what you do to solve this issue.

    Cheers -  Bob
    PS Oh, I just internalized the fact that you're using a DNAT for the traffic.  I think the Packet Filter rule wouldn't be recognized.  There are two other possible solutions:

    -Instead you could make a DNAT above your DNAT for the SFTP server: 'Hackers -> {SFTP services} -> Public Addresses : DNAT to {non-existent internal IP}.

    -Instead of the new DNAT, you use not the 'Automatic Firewall rule' in the DNAT for SFTP, and, instead, use Packet Filter rules with 'Hackers -> Any -> Any : Drop' above 'Internet -> {SFTP services} -> {SFTP server} : Allow'.
  • 0 in reply to BAlfson
    Thank you, Bob 

    We will look into the suggestion provided by you and will mention the outcome.
  • 0
    Not related to your issue, but talking about brute force attacks: in my opinion Astaro should implement a system against brute force attacks directed to ASG services (such as smtp proxy, vpn, and so on...). At the moment this feature is present but protects only webadmin (and perhaps ssh).

    If you want, you can vote this feature request: Authentication: Lockout/Ban IP for Failed Login
  • 0 in reply to BAlfson

    - Create a 'Network Group' "Public Addresses" containg the "(Address)" objects for all 'Additional Addresses' and the primary IPs of all external interfaces.  You must use these objects, and not manually-created 'Host' or 'Network' definitions.
    - Create a group "Hackers" containing the offending networks.
    - Create a 'Packet Filter' rule: 'Hackers -> Any -> Public Addresses : Drop'.



    Let us know what you do to solve this issue.

    Cheers -  Bob
    PS Oh, I just internalized the fact that you're using a DNAT for the traffic.  I think the Packet Filter rule wouldn't be recognized.  There are two other possible solutions:

    -Instead you could make a DNAT above your DNAT for the SFTP server: 'Hackers -> {SFTP services} -> Public Addresses : DNAT to {non-existent internal IP}.

    -Instead of the new DNAT, you use not the 'Automatic Firewall rule' in the DNAT for SFTP, and, instead, use Packet Filter rules with 'Hackers -> Any -> Any : Drop' above 'Internet -> {SFTP services} -> {SFTP server} : Allow'.



    Hi Bob,

    This seems overly complicated.
    As long as one is not using the "auto packetfilter rule" on the DNAT, then network definitions/groups, and a DROP PacketFilter rule BEFORE the ALLOW rule would suffice.

    Barry
  • 0
    Sham, 
    If the server doesn't support any anti-bruteforce tactics, then consider running the SFTP server on a non-standard port; that would greatly reduce the # of attacks.

    Barry
  • 0
    Thanks, Barry - I was thinking about a situation where we had several groups of Chinese hackers trying lots of different ports.  I think your first idea was my last idea after I filled that post with things irrevelant to Sham! [;)]

    Cheers - Bob
  • 0
    Yeah... looks like the quoted text updated after I posted [:P]

    Barry
  • 0
    Thanks everyone for their input!!
  • 0 in reply to Sham
    block ping 

    i check to ping form firewall in case i need to ping from firewall to routes .....etc rest i uncheck all in ICMP

    create a rule in network security> firewall 

    internal ping : Internal (Network) to Internal (Address) (your gateway address) 

    or more tight if you want to ping form specific pc only 

    3rd put ssh and web admin setting internal network only and disable ssh if you dont use

    4th make login attempts 3 and increase blocking time 

    like sir BarryG suggested country blocking great feature   block whole china LOL
  • 0
    Astaro IPS detects some brute force attacks as against POP3 for example, but only logs warnings, no drop...

    Against unspecified script kiddie pw attacks after portscans does the anti portscan feature help. lowered significantely brute force attacks against my FTP server - if they don't see the FTP server in a fast, non sophisticated scan, no attack ;o)

    But there is no Effective countermeasure for most published services against brute force attacks. Sadly Log Management wasn't released. I created there some rules which send me mails, if for example failed logins occurred on my published RDP Server...Hope for a fast revival of the Log Management.

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.