Comunidad FORTIGATE.es

Buenas.

Estoy detectando muchos ataques externos a red desde varias IP's y utilizando varios servicios, pero con un denominador común, que es un dispositivo con la misma dirección MAC.

Me gustaría saber cómo poder bloquear ese dispositivo para que no pueda acceder a mi red.

No sé si he sido muy escueto en mi explicación, si es así, indicádmelo.

Muchas gracias de antemano.

Un saludo,

hola, y la ip cambia????

podes bloquear la ip ???
podes configurar un sensor DoS e IPS.

saludos.

Buenas.

Antes de nada, gracias por su pronta respuesta.

Efectivamente, la IP cambia. He capado las distintas IP en función va cambiando, pero claro, me puedo eternizar. De ahí la pregunta de bloqueo de una MAC address.

Muchas gracias de nuevo.

Un saludo,
Willow.

hola, pero tenes configurado ips y DoS ?

que es lo que ves en los logs? ataque de tipo?

saludos.

Buenas, en la imagen anterior, se observa las sesiones del FortiView. Como observarás he identificado (o eso creo, jajaja) el dispositivo atacante (ataque_RDP). Le puse este nombre porque al principio sólo entraba por RDP, ahora ya utiliza otros servicios (HTTP, HTTPS, etc...).

Este mismo dispositivo tiene varias direcciones IP's y las voy bloqueando según las voy detectando, pero él las vuelve a modificar.

Es por ello, por lo que me gustaría capar todos los accesos de la wan2 a mi red interna que procedan del dispositivo con la MAC definida en ataque_RDP.

No sé si me he explicado bien.

Un saludo,

hoila, vos tenes abierto el rdp ?? no es un buen consejo abrirlo a internet. para eso tenes las vpn ipsec o ssl.

podrias agregar ese device y agregarlo en una politica y filtrarlo.
pero lo que dijo de tener un rdp publicado a internet no es lo mejor.

saludos.