"SSL VPN login fail" // Fuerza Bruta

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
Esteban2020
Mensajes: 2
Registrado: 26 Jul 2022, 15:11

"SSL VPN login fail" // Fuerza Bruta

Mensaje por Esteban2020 »

Hola a todos, tengo muchos intentos de conexiones desde distintas IP Publicas tratando de ingresar con distintos usuarios hacia la VPN.
alguien me puede ayudar con este tipo de ataque. soy nuevo en esto.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: "SSL VPN login fail" // Fuerza Bruta

Mensaje por AndresW »

Hola,

Es muy común, y se trata de bots intentando vulnerar algún equipo. Lamentablemente es algo imposible de evitar, sin embargo existen algunas medidas de mitigación que podrían ser útiles para protegerte:


1.- Mantener el FortiGate con su FortiOS en una versión actualizada y estable.

2.- Manejar una política de contraeñas robustas y forzar su cambio periódicamente.

3.- Acotar el acceso a la VPN desde cierto(s) país(es) desde donde normalmente tus usuarios se conectarán al servicio.

[Debes identificarte para poder ver enlaces.]

* Con esto te seguirán apareciendo logs (bastante menos) con intentos de autenticación por fuerza bruta, pero serán infructuosos.

4.- Subir el tiempo de bloqueo y mantener el número de intentos de conexión, ya que el default es 2 intentos y el tiempo de bloqueo 60 segundos.
Por lo general la gente se equivoca 2 veces en escribir su contraseña, por lo que yo mantendría el valor de número de intentos (login-attempt-limit) pero subiría el del tiempo de bloqueo (login-block-time).

[Debes identificarte para poder ver enlaces.]

5.- También, y para que el FortiGate responda a peticiones de acceso al puerto de la VPN SSL sólo a tu país(es), y dependiendo de la versión de FortiOS que estés corriendo, podrías aplicar una local-in policy permitiendo solamente conexiones acotadas tal como en el punto 3. Esto bajará considerablemente la tasa de "SSL VPN login fail's" y a la vez actuará como un efecto disuasivo.

Lo siguiente te recomiendo que sea aplicado por alguien que tenga conocimientos más avanzados de la plataforma, puesto que podría causarte más problemas que una ayuda si no tienes mucho manejo técnico como lo comentas en el post:

config firewall address
edit "CHINA_IPs"
set type geography
set comment "Direcciones de China"
set country "CN"
next
end


config firewall local-in-policy
edit 0

set intf "tu_puerto_WAN"
set srcaddr "CHINA_IPs"
set dstaddr "all"
set service "HTTPS" <-- Si mantienes otro puerto para la VPN SSL tienes que especificar ese aquí.
set schedule "always"
set action accept
next
end

config firewall local-in-policy
edit 0
set intf "tu_puerto_WAN"
set srcaddr "all"
set dstaddr "all"
set action deny
set service "ALL"
set schedule "always"
next

Bueno, espero que mi respuesta te sea útil.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Esteban2020
Mensajes: 2
Registrado: 26 Jul 2022, 15:11

Re: "SSL VPN login fail" // Fuerza Bruta

Mensaje por Esteban2020 »

Muchas Gracias @AndresW, aplicare el bloqueo por paises.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: "SSL VPN login fail" // Fuerza Bruta

Mensaje por AndresW »

Genial, ahí nos cuentas si bajaron los reportes de accesos fallidos a la VPN SSL.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder