iT邦幫忙

0

判讀防火牆的訊息

  • 分享至 

  • xImage

各位前輩,可以幫小弟判讀下列防火牆的訊息,我對防火牆不熟。小弟公司防火牆是Fortigate 60C,不知還需提供其他資訊。

Message meets Alert condition
date=2015-05-09 time=10:01:00 devname=FGT60C3G11010773 device_id=FGT60C3G11010773 log_id=0101037124 type=event subtype=ipsec pri=error vd="root" msg="IPsec phase 1 error" action="negotiate" rem_ip=198.20.70.114 loc_ip=122.117.XXX.XXX rem_port=60105 loc_port=500 out_intf="wan1" cookies="38c1bf7739f47688/0000000000000000" user="N/A" group="N/A" xauth_user="N/A" xauth_group="N/A" vpn_tunnel="N/A" status=negotiate_error error_reason=no matching gateway for new request peer_notif=UNKNOWN(148)

zyman2008 iT邦大師 6 級 ‧ 2015-06-18 13:22:57 檢舉
Log的意思是,遠端IP:198.20.70.114(此IP登記在美國),想和你的防火牆建IPSec VPN.
但是比對不到IPSec phase1的規則.
追查方向,
1.公司有位在美國的據點嗎?
2.有提供出差同仁會撥IPSec VPN進公司網路嗎?
3.這樣的Log是很頻繁還是偶而有?
4.Log裡的的遠端IP會變動嗎?
jason1966 iT邦新手 1 級 ‧ 2015-06-18 18:35:24 檢舉
公司沒有簽維護?
保重....
aaioo iT邦新手 4 級 ‧ 2015-06-22 09:36:44 檢舉
前輩,

謝謝您,敞公司沒有國外據點,公司的IPSec VPN僅供兩個廠的的資料連接,這樣的Log一個月大約有3、次,我不知這算是頻繁嗎?要連進來的遠端IP我沒有特別去記錄,但我有去查來源,大部份都來自美國!

請問前輩,對於這樣的訊息,我應該做什麼因應來防範,我目前都只能下班時把防火牆電源關掉。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
mytiny
iT邦超人 1 級 ‧ 2015-06-18 19:15:12
最佳解答

版大如果有非法的IP一直想跟你建IPsecVPN
建議你防範防法如下:
關閉你wan1允許連接的全部方式
特別是ping,ssh,telnet一定要關掉
其次打開內往外,外往內,的DoS、IPS功能
觀察內網是否有一些異常現象
若內部PC或主機有異常當盡速處理

下回問題重點說一下,描述遇到的狀況
希望其他高手幫你解決什麼問題
光說判讀紀錄不能幫到你什麼

aaioo iT邦新手 4 級 ‧ 2015-06-23 11:11:33 檢舉

謝謝前輩,其實目前並沒有遇到問題,只是因為我不懂防火牆,也看不懂它的訊息,因為怕入侵當跳板,所以才上網請教前輩們。

我要發表回答

立即登入回答