Bloquear IP externa // Ataque Fuerza bruta

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
spartano
Mensajes: 2
Registrado: 05 Mar 2022, 09:33

Bloquear IP externa // Ataque Fuerza bruta

Mensaje por spartano »

Buenos días, me gustaría saber como bloquear o banear una IP pública.

Viendo el registro de mi Logs puedo ver como cada 6 minuto tengo un intento de logueo "ssl-login-fall" de una IP:45.134.144.146. Me gustaría bloquear esa IP en mi FortiGate (versión 5.4).

He creado un "Address" y una "IPv4 Policy". La duda que me surge es la política de seguridad es que Outgoing interface: tengo seleccionado LAN. Entiendo que la política me restringe el intento de acceso a mi LAN. Dicho en otras palabras que me filtraría dicha IP pública cuando pasen por mi Firewall e intenten llegar a mi LAN. Cuando lo que quiero es "banear" dicha IP pública para anular los intentos de acceso a mi Fortigate.

Un saludo
spartano
Mensajes: 2
Registrado: 05 Mar 2022, 09:33

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por spartano »

Lo que he hecho para salir del paso y evitar estos intento de ataques es crear un política por país y permitir solo acceso mediante VPN a IPs españolas.

En Address he creado por Geolocalización "Spain"
Y luego en la configuración SSL VPN en "Restricc Access" solo he permitido el acceso a IPs españolas. Algo es algo.

De todas formas si alguien sabe como banear o bloquear un IP pública que me lo indique por favor.

Un saludo
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por gabyrossi »

Hola, si tenes publicaciones (VIP) armados en el FGT para publciar servicios podes hacer esto.

[Debes identificarte para poder ver enlaces.]

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
AndresW
Mensajes: 461
Registrado: 09 Jun 2014, 17:05

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por AndresW »

Esto lo solucionas con una local-in policy.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
lucaspoza
Mensajes: 1
Registrado: 24 Mar 2023, 16:51

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por lucaspoza »

Hola, estoy teniendo el mismo inconveniente. Cómo fue que lo solucionaste?
AndresW
Mensajes: 461
Registrado: 09 Jun 2014, 17:05

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por AndresW »

¿Y no leíste acaso la respuesta que le entregué anteriormente en relación al uso de una local-in policy? De esa forma puedes acotar por país, IP o segmento específico las conexiones que quieres permitir hacia el mismo firewall.

Las firewall policies son útiles sólo para el tráfico que atraviesa el FortiGate, y son inefectivas para el que va destinado a el mismo.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
mrecinos
Mensajes: 6
Registrado: 21 Jun 2013, 19:15

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por mrecinos »

Hola me podrian ayudar tengo un fortigate 60F y veo en los eventos intentos de logueo, hice una politica IPV4 para bloqueo pero no veo que funcione, ya cambien los puertos de mi publica pero aun sigue alguien sabe como puedo hacer para que solo se logueen desde mi pais de origen.
AndresW
Mensajes: 461
Registrado: 09 Jun 2014, 17:05

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por AndresW »

mrecinos escribió: 10 Jun 2024, 19:24 Hola me podrian ayudar tengo un fortigate 60F y veo en los eventos intentos de logueo, hice una politica IPV4 para bloqueo pero no veo que funcione, ya cambien los puertos de mi publica pero aun sigue alguien sabe como puedo hacer para que solo se logueen desde mi pais de origen.
Con una local-in policy puedes controlar el tráfico que va dirigido hacia el mismo firewall, puesto que una firewall policy (IPv4 o IPV6) es solo para los paquetes que atraviesan el FG desde una interfaz a otra, por esta razón la política que creaste no fue efectiva.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
mrecinos
Mensajes: 6
Registrado: 21 Jun 2013, 19:15

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por mrecinos »

AndresW escribió: 10 Jun 2024, 19:29
mrecinos escribió: 10 Jun 2024, 19:24 Hola me podrian ayudar tengo un fortigate 60F y veo en los eventos intentos de logueo, hice una politica IPV4 para bloqueo pero no veo que funcione, ya cambien los puertos de mi publica pero aun sigue alguien sabe como puedo hacer para que solo se logueen desde mi pais de origen.
Con una local-in policy puedes controlar el tráfico que va dirigido hacia el mismo firewall, puesto que una firewall policy (IPv4 o IPV6) es solo para los paquetes que atraviesan el FG desde una interfaz a otra, por esta razón la política que creaste no fue efectiva.
Muchas gracias me aclaras bastante el tema
AndresW
Mensajes: 461
Registrado: 09 Jun 2014, 17:05

Re: Bloquear IP externa // Ataque Fuerza bruta

Mensaje por AndresW »

mrecinos escribió: 10 Jun 2024, 19:52
AndresW escribió: 10 Jun 2024, 19:29
mrecinos escribió: 10 Jun 2024, 19:24 Hola me podrian ayudar tengo un fortigate 60F y veo en los eventos intentos de logueo, hice una politica IPV4 para bloqueo pero no veo que funcione, ya cambien los puertos de mi publica pero aun sigue alguien sabe como puedo hacer para que solo se logueen desde mi pais de origen.
Con una local-in policy puedes controlar el tráfico que va dirigido hacia el mismo firewall, puesto que una firewall policy (IPv4 o IPV6) es solo para los paquetes que atraviesan el FG desde una interfaz a otra, por esta razón la política que creaste no fue efectiva.
Muchas gracias me aclaras bastante el tema
Sigue este tutorial:

[Debes identificarte para poder ver enlaces.]
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder