Página 1 de 1
Ataque desde una IP especifica
Publicado: 06 Sep 2021, 13:10
por Bayres IT
Buenos días gente, hace meses que recibo notificaciones de un ataque desde un rango de IP especifica. Si bien no están pudiendo entrar por el User o pass, genero una política de bloqueo en el forti pero no la toma. Aclaro que tengo varios ataques de los cuales si pude bloquear, pero este, específicamente, no.
Creo la policy y luego a la aplico en policy objects pero no bloquea, todas las demás si (30)
Adjunto imágenes
Gracias!!!!
Re: Ataque desde una IP especifica
Publicado: 06 Sep 2021, 18:22
por AndresW
Hola!
Para lograr lo deseado debes aplicar una local-in policy, que básicamente se encarga de denegar y/o permitir el tráfico proveniente desde X origen hacia una IP de alguna interfaz del mismo FortiGate, por ejemplo WAN. Por esta razón es que el bloqueo que estás instaurando no sirve ya que las Firewall Policy sólo harán match en el caso de los paquetes que atraviesan el firewall con destino a una IP detrás de el, como sería el caso de un servidor ubicado en la red LAN.
Aquí tienes más info respecto a las Local-In Policies:
[Debes identificarte para poder ver enlaces.]
Acá un ejemplo de como bloquear tráfico SSL hacia una VPN desde un país en específico, pero puedes adaptarlo para SSH y en vez de ser un área geográfica el origen defines la red en particular que está llevando a cabo el ataque por fuerza bruta.
[Debes identificarte para poder ver enlaces.]
Finalmente, y como una recomendación de buenas prácticas te sugiero deshabilitar el acceso SSH en cualquier interfaz pública, y sólo lo utilices mediante una VPN.
Si tienes alguna duda y manejas Telegram te dejo invitado a un grupo que tenemos con otros usuarios donde podremos guiarte
[Debes identificarte para poder ver enlaces.]
Saludos!
Re: Ataque desde una IP especifica
Publicado: 06 Sep 2021, 18:34
por Bayres IT
Muchísimas gracias, ahi me agregue al grupo Telegram. Saludos