login failed from ssh IP DESCONOCIDA

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
FRANCISCO21
Mensajes: 1
Registrado: 14 Sep 2016, 15:43

login failed from ssh IP DESCONOCIDA

Mensaje por FRANCISCO21 »

Hola,

Tengo un problema y es que tengo muchas peticiones de una IP desconocida, y no cesan las peticiones, quisiera saber como puedo bloquear para que no se generen peticiones de esta IP y asi no exista trafico entre las mismas... ¿Como puedo decirle a mi FORTIGATE 60D que no responda a las peticiones de dicha IP?
Esta es la alerta: "Administrator root login failed from ssh(221.229.172.111) because of invalid user name"

Espero su ayuda.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: login failed from ssh IP DESCONOCIDA

Mensaje por makco10 »

Hola,

Esto lo solucionas deshabilitando el acceso ssh y telnet de tu interfaz wan o dmz.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
mcapo
Mensajes: 29
Registrado: 03 Ago 2015, 15:42

Re: login failed from ssh IP DESCONOCIDA

Mensaje por mcapo »

Hola una cansulta donde veo esta alerta que mencionan
"Administrator root login failed from ssh(221.229.172.111) because of invalid user name"
Necesito ver quien esta intentando acceder o accedio a mi Fortigate desde mi LAN por ssh telnet o http
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: login failed from ssh IP DESCONOCIDA

Mensaje por makco10 »

Hola,

Log & Report > Events
Captura.JPG
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
mcapo
Mensajes: 29
Registrado: 03 Ago 2015, 15:42

Re: login failed from ssh IP DESCONOCIDA

Mensaje por mcapo »

Ok gracias, pero en nuestro 60D no aparece la opcion "Event" tiene la version v5.6.0 build1449 (GA) y no la encuentro en otro lado.

Forti.JPG
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: login failed from ssh IP DESCONOCIDA

Mensaje por makco10 »

Hola,

Realiza el siguiente comando desde el cli:

Código: Seleccionar todo

diagnose log test
Y valida si ya te aparece disponible.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
mcapo
Mensajes: 29
Registrado: 03 Ago 2015, 15:42

Re: login failed from ssh IP DESCONOCIDA

Mensaje por mcapo »

Ejecute el comando diagnose log test y tuve el siguiente resultado imagen 2, solo en Log & Report -> Intrusion Prevention veo lo que esta en la imagen 1, pero intento ingresar por ssh y no veo esos intentos en ningún lado.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: login failed from ssh IP DESCONOCIDA

Mensaje por makco10 »

Hola,

Si te vas a log & report > log settings > event logging

¿Lo tienes activado? Comparte captura.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Cuper
Mensajes: 3
Registrado: 15 Jul 2019, 12:54

Re: login failed from ssh IP DESCONOCIDA

Mensaje por Cuper »

Buenas, a mi me pasa algo parecido. Me aparecen en el Log un monton de intentos de acceso de diferentes ips exteriores, si coincide los 3 intentos desde la misma ip el Forti bloquea esa ipdurante 60 seg pero aparece otra ip y con diferentes nombres de usuario....
El dia 10/09/19 desde las 18:00 hasta las 20:00 con intentos de acceso, sobre 2 intentos por segundo.

No hay manera de bloquear el acceso ssh??

Porque tantos intentos de acceso al equipo Fortigate??

Saludos
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: login failed from ssh IP DESCONOCIDA

Mensaje por makco10 »

Hola,

Puedes deshabilitar el acceso ssh desde la interface, puedes tambien autorizar el acceso desde redes conocidas.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Cuper
Mensajes: 3
Registrado: 15 Jul 2019, 12:54

Re: login failed from ssh IP DESCONOCIDA

Mensaje por Cuper »

Buenas, no consigo encontrar donde deshabilitar el acceso por ssh, lo que hice fue cambiar el puerto de acceso ssh y de momento aun no he tenido mas intentos de acceso.

Gracias
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: login failed from ssh IP DESCONOCIDA

Mensaje por makco10 »

Hola,

Efectivamente esa es la otra forma de mitigar el problema.

El acceso es desde network > interfaces

Y ahi editas la interface externa que conecta a tu ISP.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Cuper
Mensajes: 3
Registrado: 15 Jul 2019, 12:54

Re: login failed from ssh IP DESCONOCIDA

Mensaje por Cuper »

Hola, ya encontre donde se desactiva el acceso ssh.
Gracias por tu ayuda

Saludos
Responder