Bloquear una IP

[Felipe]

Buenas,

Buenas disponemos de un equipo Fortigate 3810A v5.0,build0147 (GA Patch 1)
Hay ocasiones en que observo que algunos de nuestros servicios publicados en la DMZ son objeto de ataques de fuerza bruta, por ejemplo zonas privadas del servicios web o algún RDP que por peticiones del cliente tienen que ser accedidos desde internet (somos conscientes del riesgo que ello supone y se lo hemos trasladado al cliente). La cuestión es que tenemos relativamente automatizada la detección de este tipo de comportamientos pero no consigo encontrar una manera sencilla de bloquear temporalmente de forma directa una IP en el firewall. Me explico, sé que podríamos crear manualmente o a través de un script una política que bloquee el acceso a la IP atacante a mi servicio y ponerla encima de la política habitual, pero quiero saber si hay alguna opción del firewall que directamente pasándole la IP bloquee las peticiones realizadas por dicha IP de forma permanente o temporal (ya sea por GUI o CLI).

La idea es conseguir algo como cuando el IPS detecta una intrusión y pone en cuarentena la IP atacante pero realizándola de forma manual (o a través de un script programado por nosotros).

Muchas gracias por vuestro tiempo. Saludos.

[gabyrossi]

Hola, tenes activo algun DoS ????

[Felipe]

Buenas,

La verdad es que tenemos activas algunas políticas DoS en algunos de los servicios SSH porque si que habíamos observado ataques muy intensos de fuerza bruta pero no había contemplado la posibilidad de hacerlo de esta forma. Supongo que reduciendo el número de peticiones en la política DoS puede aplicarse igualmente en este caso. Probaremos con ello.

Aún así, ¿existe alguna otra forma de hacerlo? A veces observo que nos escanean puertos y prueban servicios y sería interesante poder bloquear directamente esas IPs.

Muchas gracias Gaby.

[gabyrossi]

Hola, si tenes ataques mas especificos y dirigidos , o tenes un fortiWeb, FortiDB, o FortiDDoS



el scaneo de puertos no es un ataque...

saludos