Gefahreneinschätzung der ständigen fremden SFTP-Loginversuche

[Michi777]

Liebe Community!

wenn man in die Protokolle verschiedener FTP-Server sieht, erkennt man dass im minutentakt fehlgeschlagene Loginversuche stattfinden.
Nehme an Bots versuchen gängige Logindaten dazu.

Wie ist die Gefahr für den Firmenbereich dazu, im Hinblick dass man auf die administrativer anstrengendere Variante "Quell IP's einschränken auf die öffentlichen Nutzer WAN IP's) umsteigt, zu bewerten?
...sollte ein FTP Nutzer keine fixe öffentliche IP haben bzw alles zusammenzusuchen ist der administrative Mehraufwand.
Oder kann man sich auch ohne Quell-IP-Einschränkungen halbwegs sicher fühlen?

Zur Sicherheit:
Komplexe\lange\kryptische Logindaten
SFTP Verschlüsselung
Synology NAS (Linuxsystem statt Windows dahinter)
Diese NAS hat nur SFTP Rolle\Daten oben, nichts Anderes
Steht hinter Hardwarefirewall
Großteil der sensiblen Daten mit zip AES256bit verschlüsselt

Bitte um eure Einschätzung\Inputs zu diesem Thema.

Beispiellogeintrag im Anhang!

Vielen Dank!

 

[leipziger1979]

Wie wäre es mit einer DMZ?
Oder eine Änderung der Ports auf andere als dem Standardport?
Oder andere, mehrstufige, Authentifizierungen?

 

[Multivac]

Halte ich für normales Internet rauschen. Selbst als ich für 2tage zuhause einen webserver auf hatte gab es einen scan fuer typische shells.

 

[Mojo1987]

Zusätzlich könnte man mit Mechanismen arbeiten die nach mehreren fehlgeschlagenen Loginversuchen zumindest die Quell-IPs für das Ziel komplett sperren und am besten dann direkt an der Firewall abgewiesen werden. Eine zusätzliches IPS auf seiten der Hardwarefirewall kann sicher auch nicht schaden. Ansonsten ist das nunmal so mit Zeug das im Netz hängt. Das Gerät ist hoffentlich wie bereits erwähnt in einer DMZ.

 

[KillerCow]

Erstmal weg von Standardports, dann finden die ganzen Skriptkiddies den Server nicht mehr. Bei SSH auf Schlüssel umstellen. Mit einem Automatismus die QuellIP nach mehreren erfolglosen Versuchen für ein paar Stunden auf eine Blacklist setzen.

PS: SFTP und SSH haben nichts mit FTP zu tun!

 

[Lawnmower]

Würde auch erstmal die Standard Ports ändern - das hilft enorm.

 

[yxman]

Zusätzlich könnte man mit Mechanismen arbeiten die nach mehreren fehlgeschlagenen Loginversuchen zumindest die Quell-IPs für das Ziel komplett sperren und am besten dann direkt an der Firewall abgewiesen werden. Eine zusätzliches IPS auf seiten der Hardwarefirewall kann sicher auch nicht schaden. Ansonsten ist das nunmal so mit Zeug das im Netz hängt. Das Gerät ist hoffentlich wie bereits erwähnt in einer DMZ.

Genau das.

@OP du willst fail2ban

 

[Masamune2]

im Hinblick dass man auf die administrativer anstrengendere Variante "Quell IP's einschränken auf die öffentlichen Nutzer WAN IP's) umsteigt, zu bewerten?

Hab ich jetzt mehrmals gelesen aber nicht verstanden.

Komplexe\lange\kryptische Logindaten

Lang ist am wichtigsten, alles andere sorgt eher dafür das man es sich zu einfach macht.

Synology NAS (Linuxsystem statt Windows dahinter)

Spielt keine Rolle welches OS darunter liegt.

Steht hinter Hardwarefirewall

Und solange der Port freigegeben ist kann das Ding hinter 10 Firewall stehen das ändert an der Sicherheit nichts.