iT邦幫忙

0

fortigate上的LOG,我是被入侵了嗎?

不好意思各位高手,小弟先解釋一下我公司的簡易架構
Wan->Lan 只有設兩條public:80->private:80,public:443->private:443,其餘deny
Lan端是一台Webserver
在fortigate100d上查詢LOG時發現如下圖https://ithelp.ithome.com.tw/upload/images/20200219/20117113bZrqNxXsrQ.jpg
小弟技術實力很低所以無法理解,
我嘗試使用chrome RDP測試連線,
因為SERVER沒有開RDP所以連線失敗,FORTIGATE上看到的LOG為 server:RDP,app:RDP,也與此狀況不同,此狀況查LOG已連續出現10多天,且幾分鐘一次或一分鐘好幾次,
fortigate有IPS防護但沒有任何動作,目前無法判斷是否有入侵,還是利用443port不斷嘗試RDP,
現階段只直接將來源block掉後看到三次失敗紀錄就沒再見到了,請問各位高手有何見解

看這種連線狀況,應該是在嘗試掃描RDP的登入可能,
是否有被入侵這要看你內部主機的紀錄,
在 fortifate 上,這是屬於 public:443->private:443 合法規則連線,
所以紀錄是正常。

IIS本身也有好像有WEB方式的RDP,所以為了安全,請先茶機器上的事件檢視器,看看安全性裡面的紀錄,有沒有被登入成功。
badboy01 iT邦新手 2 級 ‧ 2020-02-20 09:19:45 檢舉
如果來源IP可能在其他國家,最簡單是直接封鎖IP或封鎖來源區域
感謝高手提供意見,SERVER先將近兩個月的登入紀錄查詢網路來源,都只有LAN端的來源,應該是沒成功才持續嘗試,已先將該IP及區域都直接封鎖了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
mytiny
iT邦超人 1 級 ‧ 2020-02-20 09:34:07

樓主在使用Fortigate時,有幾個重要觀念可以調整

  1. Server不要跟您的PC混在同一個網段
  2. FortiGate的IPS不是打勾啟用就好,需要多了解其中的設定與運作
  3. Log紀錄可以點擊,右側會出現細節,可以觀察流量方向與作用

因為不在現場,以下是研判猜測,僅供參考

  1. 似乎外網有故意嘗試一直用RDP來連接,因為看不到LOG細節,但研判應該是沒有成功,所以一直重複連線
  2. IPS沒有辦法對正常行為做阻擋,意即,對於RDP連線不能知道其內容是否有惡意行為(因未聯通,連通後應可),而RDP是標準的通訊服務
  3. 如果有被偵測到的IPS行為,Fortigate的IPS可以做來源封鎖,可免除另外下防火牆政策
  4. 更重要的是原因:在下研判應該是內網有人連外去過某BOT,因此外網得知來源IP(即樓主的防火牆IP),故而重複不斷來嘗試入侵
  5. 顯見貴公司資安防護有些許問題存在,特別對於內網防護觀念不夠完整
  6. 建議盡快查看內網LOG,當可找到資安漏洞蛛絲馬跡。
看更多先前的回應...收起先前的回應...
mytiny iT邦超人 1 級 ‧ 2020-02-20 11:38:20 檢舉

SERVER先將近兩個月的登入紀錄查詢網路來源,都只有LAN端的來源

如果Server跟LAN同網段,或是不同網段,但是也沒有把流量做IPS及AV的檢測
當clinet的PC中招的時候(按目前情況看很有可能),Server基本上就危急了
現在很多資安事件都是由此而發生,建議樓主慎重

bluegrass iT邦高手 1 級 ‧ 2020-02-20 13:05:17 檢舉

很好奇你IPS的設定是怎樣的

感謝大師的指導,剛進公司接手沒多久加上還是兼此職務,FW部分一直不斷修近期改動很多,多了一堆POLICY連線上的限制(抱怨聲音也會很多哈哈,不然就是不小心導致一些無法作業的事情),架構已定型太久,太菜加上技術不強公司都有難念的經,只能在自己可以做的fw上面做動作,還在努力邊學習邊修改。

fortigate有切VDOM與其他SERVER分開所以IPS設定共用,針對幾個有開的服務做暴力破解的防範,不知道這樣設定對嗎
https://ithelp.ithome.com.tw/upload/images/20200220/201171132mqSbdk9fd.jpghttps://ithelp.ithome.com.tw/upload/images/20200220/20117113BcoZE4BBPh.jpg

hsiang11 iT邦好手 1 級 ‧ 2020-02-20 14:13:17 檢舉

ms.RDP.connection這條設計不錯 可以再把設定改成隔離慢慢加時數
值自己慢慢測試
用意在於沒辦法阻殺 慢慢讓對方放棄

mytiny iT邦超人 1 級 ‧ 2020-02-20 18:40:40 檢舉

fortigate有切VDOM與其他SERVER分開所以IPS設定共用

以上,覺得很奇怪,應該IPS會不能共用,要各自設定

MS.RDP.Connection.Brute.Force這條,不可能設隔離,只能設封鎖
目前要2000次才會block,而且不管是來源還是目的
請樓主在項目點兩下做設定

另外IPS Signatures Filter的項目是空白,這裡加入的才能做隔離
同時Block malicious URLs沒有開,估計Botnet C&C也沒有設
在下建議您請此Fortigate的SI儘快提供技術服務
(不知該設備是否有買UTM授權及保固服務)
版上討論諸多顧忌且不能了解您真實的狀況
還請樓主多多包涵見諒!

回高手,因為自己手動在global上設定在切到vdom內查看IPS設定與GLOBAL相同,以為是共用,感謝高手提點學到了這些選項是設定什麼的,有買UTM授權及保固,看來真的很多沒設定,可能連AV都沒設好,本身也是想自己學自己設定,才不會什麼都看不懂,也不會被廠商忽攏都不知道,看來要跟SI廠商一起討論內容了

想要學設定,最好是趁這個機會和廠商討論,請它們調較最佳設定,邊看他們調整邊問,勝過自己完全新手盲修瞎練。(尤其是目前已經有發現問題)

0
hsiang11
iT邦好手 1 級 ‧ 2020-02-20 09:38:24

我這樣判斷80 跟443一定都是web會開的
那既然有人玩你的rdp
就看這台是否為windows server然後修些rdp相關的漏洞

感覺可能也是想嘗試WINDOWS近期發現的已知漏洞是否已經修補來做嘗試,又或者WEB設計上使用的工具,有已知的RCE漏洞攻擊,該SERVER確認該修補的WINDOWS更新都有更新,目前先將該國家整個BLOCK(netxxxxx)IPS抓到多數除了chxx國家跟ruxx再來就是該來源國

我要發表回答

立即登入回答