IBM SERVER 的IMM 被 FORTIGATE 防火牆登入

ibm imm fortigate ssh telnet

阿偉 2016-06-08 10:24:36 ‧ 2910 瀏覽

IBM SERVER : X3650 M3 (OS:Win 2008 R2) (無配置DNS無法上網)

F/W: FORGATE 70D (OS:v5.2.4,build688) (有固I，HTTPS)

近期發現半夜會有防火牆的IP在TRY (SSH、TELNET)

但我的ibm server並沒有開外網，如下

防火牆密碼應該是沒被破才對，是不是員工電腦中毒導致呢??

想詢問FORGATE如何查詢的到該時段為何會被登入
並如何防止該事件再發生謝謝。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

WilliamHuang

iT邦研究生 1 級 ‧ 2016-06-08 10:31:30

【＊＊此則訊息已被站方移除＊＊】

yesongow

iT邦大師 1 級 ‧ 2016-06-08 11:52:49

WAN to LAN，你該不會有開NAT吧？
這樣外部的IP攻擊，通通換成FTG的LAN IP耶！

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

阿偉 iT邦新手 2 級 ‧ 2016-06-08 16:16:07 檢舉

真的有開NAT，只要是有三個IP要轉成固定IP
其中有一台為PC，透過Windows RDC可從外網連回公司

有辦法解決嗎??

阿偉 iT邦新手 2 級 ‧ 2016-06-08 16:27:46 檢舉

我先把NAT關閉看看好了

mytiny iT邦超人 1 級 ‧ 2016-06-08 22:07:25 檢舉

請用mapping，做真實與虛擬IP的對應，無須NAT

阿偉 iT邦新手 2 級 ‧ 2016-06-09 01:06:05 檢舉

OK，謝謝

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2016-06-08 15:47:51

缺乏版大的架構說明，小弟以下的看法或許有誤，請見諒

初步看起來，小弟認為是內網的電腦作怪

192.168.1.254應該是版大的閘道也是防火牆的介面

IBM server 與PC混在同一個網段本就不是安全的做法

採購FG-70D應是預算考量，

很不幸，會沒有較長時間的LOG紀錄

不然或許啟用Local In Policy能夠在防火牆看到一些紀錄

小弟建議隔開Server到另一個介面(網段)

這樣防火牆就容易用政策來做安全控制了

回應 3
分享
檢舉

阿偉 iT邦新手 2 級 ‧ 2016-06-08 16:17:55 檢舉

70D硬體還OK價格也漂亮，所以當初才買這台
如果把SERVER改到192.168.0.X這網段
USER端為192.168.1.X
那USER不就無法連到SERVER了
貌似要L3才可以連到

抱歉小弟才剛換這台FW沒多久

mytiny iT邦超人 1 級 ‧ 2016-06-08 22:04:49 檢舉

防火牆本來就是L3的設備，
Fortigate 更是L7等級的多功能UTM。
版大只要開通User網段與Server網段的雙向政策即可，
舉例:如Lan to DMZ 及 DMZ to Lan的兩條policy開通，且無須NAT。
路由也不用設就會通了。
但是建議版大既然購買了設備，那個賣設備的經銷商也該盡點責任。
請他們也提供點服務吧。