Bloquear una IP
Publicado: 29 Abr 2013, 12:16
Buenas,
Buenas disponemos de un equipo Fortigate 3810A v5.0,build0147 (GA Patch 1)
Hay ocasiones en que observo que algunos de nuestros servicios publicados en la DMZ son objeto de ataques de fuerza bruta, por ejemplo zonas privadas del servicios web o algún RDP que por peticiones del cliente tienen que ser accedidos desde internet (somos conscientes del riesgo que ello supone y se lo hemos trasladado al cliente). La cuestión es que tenemos relativamente automatizada la detección de este tipo de comportamientos pero no consigo encontrar una manera sencilla de bloquear temporalmente de forma directa una IP en el firewall. Me explico, sé que podríamos crear manualmente o a través de un script una política que bloquee el acceso a la IP atacante a mi servicio y ponerla encima de la política habitual, pero quiero saber si hay alguna opción del firewall que directamente pasándole la IP bloquee las peticiones realizadas por dicha IP de forma permanente o temporal (ya sea por GUI o CLI).
La idea es conseguir algo como cuando el IPS detecta una intrusión y pone en cuarentena la IP atacante pero realizándola de forma manual (o a través de un script programado por nosotros).
Muchas gracias por vuestro tiempo. Saludos.
Buenas disponemos de un equipo Fortigate 3810A v5.0,build0147 (GA Patch 1)
Hay ocasiones en que observo que algunos de nuestros servicios publicados en la DMZ son objeto de ataques de fuerza bruta, por ejemplo zonas privadas del servicios web o algún RDP que por peticiones del cliente tienen que ser accedidos desde internet (somos conscientes del riesgo que ello supone y se lo hemos trasladado al cliente). La cuestión es que tenemos relativamente automatizada la detección de este tipo de comportamientos pero no consigo encontrar una manera sencilla de bloquear temporalmente de forma directa una IP en el firewall. Me explico, sé que podríamos crear manualmente o a través de un script una política que bloquee el acceso a la IP atacante a mi servicio y ponerla encima de la política habitual, pero quiero saber si hay alguna opción del firewall que directamente pasándole la IP bloquee las peticiones realizadas por dicha IP de forma permanente o temporal (ya sea por GUI o CLI).
La idea es conseguir algo como cuando el IPS detecta una intrusión y pone en cuarentena la IP atacante pero realizándola de forma manual (o a través de un script programado por nosotros).
Muchas gracias por vuestro tiempo. Saludos.
