iT邦幫忙

0

Fortigate VPN 暴力破解

  • 分享至 

  • xImage

特定外部IP 一直暴力破解 想測試出VPN帳號密碼

查了Google與IT邦 有些回答是在 address 設定此外部IP 然後IPv4 裡相關服務都deny

照此方法設定後…

還是一直遭同IP VPN測試 登入 求解...

看更多先前的討論...收起先前的討論...
harrytsai iT邦新手 1 級 ‧ 2022-04-26 12:28:16 檢舉
你如果VPN不是全天候24小時都會用到,那就排定可以使用的時間,比如下班時間就關閉服務,如果是外部的駭客主機,通常不會對一台不常時間活動的主機做掃描
mytiny iT邦超人 1 級 ‧ 2022-04-26 12:45:06 檢舉
資訊是否能給清楚一點
VPN是哪種VPN
LOG紀錄是什麼內容
每隔5-10分鐘就來一次
IPSec遠端IP 45.134.144.84
子型式 vpn 採取行動 ssl-login-fail
日期/時間 2022/4/26 上午9:45:42 日期/時間 09:45:42
理由 sslvpn_login_unknown_user 用戶 ms
隧道類型 ssl-web
之前連TPLINK自己陽春的VPN設備內建防火牆都有辦法阻擋
FG應該不至於吧
你的規則是怎麼設定的
harrytsai iT邦新手 1 級 ‧ 2022-04-26 14:37:57 檢舉
你應該是設定有問題啦!是不是你沒有改Port,還是哪邊沒有設定好
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
mathewkl
iT邦高手 1 級 ‧ 2022-04-26 12:49:03

暴力破解的使用介面? Client? WEB?
IP來源範圍?
防火牆對於嘗試登入的紀錄樣態?

你的Deny是不是真的有Deny? 不然怎麼還能一直嘗試登入?

FortiGate也可以設定限制VPN嘗試登入次數的

看更多先前的回應...收起先前的回應...

web 介面的 每隔個5-10分鐘就試不同的用戶名
目前只有看到這個ip 但我找不到哪邊能ban他或阻止該ip嘗試登入

IPSec遠端IP 45.134.144.84
子型式 vpn 採取行動 ssl-login-fail
日期/時間 2022/4/26 上午9:45:42 日期/時間 09:45:42
理由 sslvpn_login_unknown_user 用戶 ms
目的主機 N/A 級別
群組 N/A
訊息 SSL user failed to logged in 記錄 ID 39426
記錄描述 SSL VPN login fail 隧道ID 0
隧道IP (null) 隧道類型 ssl-web

mathewkl iT邦高手 1 級 ‧ 2022-04-26 13:12:25 檢舉

45開頭在美國
在VPN設定限制存取只允許台灣IP就能擋掉了

diagnose user quarantine add src4 45.134.144.84 0 admin

michaelwan 大大的回覆是CLI介面設定方式嗎?

是的,CLI才有辦法做自動.
不然你從Log & Report -> Forward Traffic找到那個src ip再Ban IP也可以.

mathewkl iT邦高手 1 級 ‧ 2022-04-26 17:31:32 檢舉

除了手動用指令BAN外限制可連入的對象/地區也是必要的
就算BAN了一個對方如果有其他可用IP還是能繼續嘗試

0
mytiny
iT邦超人 1 級 ‧ 2022-04-26 14:49:27

根據樓主後來補充的資訊
因為來源是固定的IP,用的是SSL-VPN
所以應該可以用firewall policy處理

在所有SSL-VPN tunnel interface (ssl.root)
到其他interface的Firewall policy
將deny這個IP的firewall policy放在前面
例如:
ssl.root to LAN
就在正常連通政策前放一條deny這個IP的政策

另外建議樓主
有狀況可以找賣設備的SI
只要當初有約定提供技術服務就該來協助處理

看更多先前的回應...收起先前的回應...
hsiang11 iT邦好手 1 級 ‧ 2022-04-26 15:17:08 檢舉

ssl.root to LAN 應該擋不到吧?
進root以後應該會是VPN配發的IP
用原始的IP防火牆應該無法判斷

https://ithelp.ithome.com.tw/upload/images/20220426/20138349pw85h4sayz.jpg
我這樣子還擋不住 快煩死了…公司沒續約維護 我連GUI介面都找不到BAN IP相關的…明明是個防火牆...

hsiang11 iT邦好手 1 級 ‧ 2022-04-26 16:47:52 檢舉

看你的系統還在5.2左右,去看看能不能說服上頭升級設備和os吧

mytiny iT邦超人 1 級 ‧ 2022-04-26 17:00:55 檢舉

仔細想了一下hsiang11大大說的對
到ssl.root應該已經是內部IP了
所以firewall policy確實起不了作用

不過,樓主呀!看截圖這OS版本還在5.2以下
會不會也太太太舊了
很多功能會沒有辦法提供呀
比如說在SSLVPN設定可以指定來源才接受
本想說可能可以用IPS功能做自動封鎖IP
(FortiOS.SSL.VPN.Web.Portal.Password.Improper.Authentication)
但沒有買授權或保固就只能靠DDoS功能了
(明明是個防火牆,卻把他當個網路設備,也不買技術服務???)

mathewkl iT邦高手 1 級 ‧ 2022-04-26 17:34:50 檢舉

除了沒續約,這個設備也很舊了,Forti的CP值已經很高了結果連這點錢也省,我覺得快逃比較快,到時候出事又要背鍋

這就像當兵一樣呀,希望別在任期內被高裝檢督爆…大大們還有想法能擋嗎…我正看著ssl 伺服器憑證還在用預設,要求客戶端憑證這選項會有用處嗎…菜鳥MIS求解…

mytiny iT邦超人 1 級 ‧ 2022-04-26 20:57:41 檢舉

可以試試看跟電信業者客戶服務部門反映
將確實防火牆被攻擊的證明提交
請電信業堵住該IP通訊
因為有固定的來源
看看電信願不願意協助處理

憑證相關應該無助於解決
這個可能改通訊port都無用
也許對方設錯就一直來
需要把TCP/UDP/ICMP Flood Threshold
作一些處理

也應該跟老闆反映事實
Fortigte自動封鎖IP有三種

  1. 用DDoS的功能 (需要隱藏的CLI命令)
  2. 用IPS的隔離功能
  3. 用IoC資料庫的自動化驅動(需FAZ)

以上三者都需要技術服務費或授權
如果老闆不當回事,mathewkl大大建議得不錯

謝謝大大的回覆 我一直以為是我菜雞找不到相關設定...

0
hsiang11
iT邦好手 1 級 ‧ 2022-04-26 15:07:38

sslvpn_login_unknown_user 用戶 ms

其實我覺得根本難以擋住所有的ssl vpn連線
畢竟都對外開放了
不如改個連線port不用預設port看會不會減少來的ip

不過擋ip太慢了 升級為國家級阻擋會比較好
比方阻擋俄羅斯來的IP

看更多先前的回應...收起先前的回應...

該怎麼作國家級阻擋呢

打雜工 iT邦研究生 1 級 ‧ 2022-04-27 07:14:45 檢舉

很多防火牆都可以設定依國家IP來源(都已幫你歸類好了)做阻擋或放行

BKY iT邦好手 1 級 ‧ 2022-04-28 08:38:41 檢舉

請問國家IP的資料庫,可以設定排程自動更新嗎?

mytiny iT邦超人 1 級 ‧ 2022-04-28 10:10:49 檢舉

國家級阻擋需在policy中生效
本案為直接攻擊在設備接口,故而無效
但國家IP資料庫買保固就會自動更新

0
打雜工
iT邦研究生 1 級 ‧ 2022-04-27 07:22:56

特定外部IP,一直暴力破解<----就阻擋那特定IP位置,收工。
我以往遇到的都非特定IP位址,我還須自己寫程式定期排程歸類,到一定的數量再阻擋,但這已都是事後了,其實對於當下暴力破解幫助不大,會加入最前端設備阻擋只是為了減輕後端設備不必要的負擔(直接在前端設備擋掉),當然最主要的還是要讓老闆知道有在做事(雖然效果有限...)。

0
Abbott
iT邦研究生 4 級 ‧ 2022-04-27 13:57:30

https://ithelp.ithome.com.tw/upload/images/20220427/20077327zSYBJGwdVb.jpg
限制來源國家

hsiang11 iT邦好手 1 級 ‧ 2022-04-27 15:29:00 檢舉

這方法比較棒 推

0
qpowjohn
iT邦新手 4 級 ‧ 2022-05-02 23:39:10

你要不要試試看這種設定方式
Inbound: WAN
Inbound Port: 你的VPN用的Port
SourceIP: 45.134.144.84

Outbound: Lan
Inbound Port: ALL

Action: Deny

我要發表回答

立即登入回答