Como bloquear un bot

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
MArloX
Mensajes: 3
Registrado: 10 May 2011, 23:29

Como bloquear un bot

Mensaje por MArloX »

Al fortigate se esta conectando un bot que lo que hace es descargar información de mi base de datos, el problema es que este bot se conecta a alguno de los servidores de mi granja y cuando intento loguear desde los servidores en vez de poder ver la ip del bot veo la IP del fortigate, necesito de alguna manera poder ver la IP de las consultas a web que llegan a travez del fortigate para así poder bloquearlas o generar alguna especie de regla que me permita el bloqueo automatico de la IP despues de cierto numero de peticiones en determinado intervalo de tiempo.

La verdad soy super inexperto con el fortigate y necesito solucionar mas o menos rapido el problema, puesto que dicho bot me consume el ancho de banda y deja a mis clientes sin acceso.

Espero alguien pueda entenderme y tenderme una manito, de ante mano muchas gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Como bloquear un bot

Mensaje por gabyrossi »

Hola, la politica de tu vip donde abris el servicio, si tiene nat, sacaselo.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
MArloX
Mensajes: 3
Registrado: 10 May 2011, 23:29

Re: Como bloquear un bot

Mensaje por MArloX »

el problema es que entra por el mismo lugar donde tienen que entrar los clientes, si quito el nat nadie podra entrar
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Como bloquear un bot

Mensaje por gabyrossi »

hola, lo probaste???
que ves en el log?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
MArloX
Mensajes: 3
Registrado: 10 May 2011, 23:29

Re: Como bloquear un bot

Mensaje por MArloX »

Los log los encuentro malisimos, solo registran cosas internas y mas encima tienen la hora cambiada, no me muestra nada del ataque externo y el proveedor no me resuelve nada
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Como bloquear un bot

Mensaje por gabyrossi »

Hola, tenes servidores de base de datos publicadoa a internet? porque? si alguien chequea esas base, deberias poder agregar las ip publicas de quien si tienen permisos para hacerlo.

el fortigate maneja ips y sensores de DOS.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ecrayo
Mensajes: 3
Registrado: 01 Abr 2009, 16:53

Re: Como bloquear un bot

Mensaje por ecrayo »

Hola, mira el tema de los logs con la hora de los eventos es 100% fiable si es que el firewall tiene la hora correctamente, referente al problema de tu servidor lo mejor que puedes hacer es que le crees una regla solo a tu servidor para internet (source int -> ip server - destination int -> internet con nat activo) recuerda que esta regla debe quedar arriba a la regla general hacia internet (el tipico all -> all), en esa arregla aplicale un proteccion profile o UTM según la versión de firmware que tengas con el ips activo y que venga por defecto en monitorear todo con logs activos, luego en los logs del firewall veras que esta pasando.

ultimas versiones firmware 3
UTM->Intrusion Protection-> Create New -> add filter
Severity : all
Target: all
Os : all
Protocol: all
Application: all
Signature Settings
Enable : Accept
Logging: Enable All
Action: Accept

con esto listo le das ok y te vas a firewall->protection profile->Create New
crea un protection profile en blanco, trata de no marcar nada y en IPS selecciona el recién creado, eso lo aplicas a tu política individual de tu servidor y revisa los logs.

si tienes la version 4 de firmware es casi lo mismo

UTM->Intrusion Protection->Create New->Create Filter
aca deja lo mismo que arriba seleccionado y para loguear en el firewall

Action When Signature Is Triggered: Monitor All

Luego te vas a la política creada (Firewall policy) activas UTM y seleccionas tu IPS en Enable IPS

con eso te pones a ver los logs y ver si el firewall reconoce el tipo de ataque una vez que te diga el log te metes al IPS en UTM , entonces agrega el nombre del ataque y lo bloqueas.

espero que te sirva como orientación, mi explicación no es muy entendible pero a si podrás ver que pasa.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Como bloquear un bot

Mensaje por gabyrossi »

Hola, una politica de firewall sin vip ????
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder