iT邦幫忙

0

IBM SERVER 的IMM 被 FORTIGATE 防火牆登入

IBM SERVER : X3650 M3 (OS:Win 2008 R2) (無配置DNS無法上網)

F/W: FORGATE 70D (OS:v5.2.4,build688) (有固I,HTTPS)

近期發現半夜會有防火牆的IP在TRY (SSH、TELNET)

但我的ibm server並沒有開外網,如下

http://ithelp.ithome.com.tw/upload/images/20160608/20082456eMZYcO77jM.jpg

防火牆密碼應該是沒被破才對,是不是員工電腦中毒導致呢??

想詢問FORGATE如何查詢的到該時段為何會被登入
並如何防止該事件再發生 謝謝。

WilliamHuang
iT邦研究生 1 級 ‧ 2016-06-08 10:31:30
【**此則訊息已被站方移除**】
0
yesongow
iT邦大師 1 級 ‧ 2016-06-08 11:52:49

WAN to LAN,你該不會有開NAT吧?
這樣外部的IP攻擊,通通換成FTG的LAN IP耶!

看更多先前的回應...收起先前的回應...

真的有開NAT,只要是有三個IP要轉成固定IP
其中有一台為PC,透過Windows RDC可從外網連回公司

有辦法解決嗎??

我先把NAT關閉看看好了

mytiny iT邦大師 1 級 ‧ 2016-06-08 22:07:25 檢舉

請用mapping,做真實與虛擬IP的對應,無須NAT

OK,謝謝

0
mytiny
iT邦大師 1 級 ‧ 2016-06-08 15:47:51

缺乏版大的架構說明,小弟以下的看法或許有誤,請見諒

初步看起來,小弟認為是內網的電腦作怪

192.168.1.254應該是版大的閘道也是防火牆的介面

IBM server 與PC混在同一個網段本就不是安全的做法

採購FG-70D應是預算考量,

很不幸,會沒有較長時間的LOG紀錄

不然或許啟用Local In Policy能夠在防火牆看到一些紀錄

小弟建議隔開Server到另一個介面(網段)

這樣防火牆就容易用政策來做安全控制了

70D硬體還OK價格也漂亮,所以當初才買這台
如果把SERVER改到192.168.0.X這網段
USER端為192.168.1.X
那USER不就無法連到SERVER了
貌似要L3才可以連到

抱歉小弟才剛換這台FW沒多久

mytiny iT邦大師 1 級 ‧ 2016-06-08 22:04:49 檢舉

防火牆本來就是L3的設備,
Fortigate 更是L7等級的多功能UTM。
版大只要開通User網段與Server網段的雙向政策即可,
舉例:如Lan to DMZ 及 DMZ to Lan的兩條policy開通,且無須NAT。
路由也不用設就會通了。
但是建議版大既然購買了設備,那個賣設備的經銷商也該盡點責任。
請他們也提供點服務吧。

了解,謝謝了。上班日來試試

我要發表回答

立即登入回答