Bloquear una IP

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Bloquear una IP

Mensaje por Felipe »

Buenas,

Buenas disponemos de un equipo Fortigate 3810A v5.0,build0147 (GA Patch 1)
Hay ocasiones en que observo que algunos de nuestros servicios publicados en la DMZ son objeto de ataques de fuerza bruta, por ejemplo zonas privadas del servicios web o algún RDP que por peticiones del cliente tienen que ser accedidos desde internet (somos conscientes del riesgo que ello supone y se lo hemos trasladado al cliente). La cuestión es que tenemos relativamente automatizada la detección de este tipo de comportamientos pero no consigo encontrar una manera sencilla de bloquear temporalmente de forma directa una IP en el firewall. Me explico, sé que podríamos crear manualmente o a través de un script una política que bloquee el acceso a la IP atacante a mi servicio y ponerla encima de la política habitual, pero quiero saber si hay alguna opción del firewall que directamente pasándole la IP bloquee las peticiones realizadas por dicha IP de forma permanente o temporal (ya sea por GUI o CLI).

La idea es conseguir algo como cuando el IPS detecta una intrusión y pone en cuarentena la IP atacante pero realizándola de forma manual (o a través de un script programado por nosotros).

Muchas gracias por vuestro tiempo. Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Bloquear una IP

Mensaje por gabyrossi »

Hola, tenes activo algun DoS ????
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: Bloquear una IP

Mensaje por Felipe »

Buenas,

La verdad es que tenemos activas algunas políticas DoS en algunos de los servicios SSH porque si que habíamos observado ataques muy intensos de fuerza bruta pero no había contemplado la posibilidad de hacerlo de esta forma. Supongo que reduciendo el número de peticiones en la política DoS puede aplicarse igualmente en este caso. Probaremos con ello.

Aún así, ¿existe alguna otra forma de hacerlo? A veces observo que nos escanean puertos y prueban servicios y sería interesante poder bloquear directamente esas IPs.

Muchas gracias Gaby.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Bloquear una IP

Mensaje por gabyrossi »

Hola, si tenes ataques mas especificos y dirigidos , o tenes un fortiWeb, FortiDB, o FortiDDoS

:D

el scaneo de puertos no es un ataque...

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder