Alguém vendo esse ataque de força bruta em seus firewalls Sophos XG? Problemas com autenticação e serviços travando?

Estamos enfrentando problemas com nosso par HA de firewalls XG rodando SFOS 21.0.0 GA-Build16. Inicialmente, fomos informados de que a página do portal VPN precisa estar ativa para que os usuários do SSL VPN recebam atualizações. Pelo portal, percebemos tentativas de ataques de spraying de nomes de usuário/senhas comuns. Embora tenhamos proteção MFA adicional, os usuários tentando acessar não são válidos em nosso ambiente.

Na semana passada, o serviço de autenticação falhou e reiniciamos. Porém, esta manhã, reiniciar o serviço não funcionou, e tivemos que reiniciar todo o firewall para restaurar os serviços de VPN.

Alguém mais já enfrentou este problema ou encontrou uma solução melhor que a Sophos?

Artigo da Sophos: Service and Support Info do ataque: Massive brute force attack uses 2.8 million IPs to target VPN devices

Não é só a Sophos. Qualquer firewall com um SSL VPN na porta padrão será atingido por ataques de força bruta o dia todo, todos os dias.

Parece que o OP postou um link AMP. Esses devem carregar mais rápido, mas o AMP é controverso por preocupações com privacidade e a Web Aberta. Páginas AMP totalmente cacheadas (como a que o OP postou), são especialmente problemáticas.

Talvez, melhor verificar a página canônica: https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-uses-28-million-ips-to-target-vpn-devices/

^(Sou um bot | )^(Por que & Sobre)^( | )^(Invocar: u/AmputatorBot)

Temos o mesmo problema. Em todos os nossos firewalls.

Aconteceu comigo também. Basta desativar o portal do usuário / portal VPN na configuração de acesso ao dispositivo. Só é necessário para baixar o cliente e a configuração. O VPN ainda funciona.

Eu também observei isso em nosso par XGS 2300. Aconteceu há cerca de meio ano.

Percebi que vinha de poucos IPs específicos, então criei uma regra de bloqueio em SISTEMA → Administração → Acesso ao Dispositivo → Exceção de ACL de Serviço Local, conforme recomendado na KB, e nunca mais tive problemas.

Isso não é exclusivo do firewall Sophos.

Vi que a Sophos atualizou seu artigo com mais IPs (percebi tráfego de uns 4 ou 5 IPs) então atualizei minha regra com a lista de IPs que a Sophos agora tem na KB. Os meus 4 ou 5 IPs iniciais não estavam na lista.

Tem correções para acesso ao servidor na versão v20 MR3
Tem também uma KBA sobre ataques de força bruta na zona VPN, se ativada na zona WAN.

Tenho uma regra NAT que envia tráfego indesejado de IKE para um IP interno inexistente, usado para tentativas de conexão IPSec indesejadas. Posso adicionar a porta VPN SSL e reabilitá-la. Isso ajudaria?

Percebi isso pouco depois de instalar o nosso. Não sabia que havia um artigo, mas desativei o portal VPN e fiz uma “Regra de Exceção de ACL de Serviço Local” permitindo o portal, mas somente de uma fonte IP do Reino Unido.

Nunca mais tive o problema.

Sim. Temos esse problema sério. Na verdade, os nossos firewalls até travaram por causa disso. O serviço de autenticação morre e isso derruba toda a STAS e VPN da Sophos, o que interrompe nossa conectividade.

Recentemente, mudei nosso portal VPN de 443 para 8443. Isso parou totalmente os ataques de força bruta. Foi uma mudança fácil e sem efeitos colaterais. Atualizei o arquivo de provisionamento para o VPN SSL apontar para a nova porta, só por precaução.

EDIT: Não perca tempo com listas ACL locais. Você ficará fazendo isso o dia todo. Sempre que um IP for bloqueado, eles mudam para outro. Vai se tornar um trabalho em tempo integral.