iT邦幫忙

0

fortigate 60e非法登入加入黑名單

  • 分享至 

  • xImage

各位好

日前有作fortigate 60e的入侵偵測
然後就收到一堆嘗試登入的信件

信件主旨:Message meets Alert condition

信件內文1:
Message meets Alert condition
The following critical firewall event was detected: Admin login failed.
date=2023-08-01 time=14:05:42 devname=numax-slave devid=FGT60ETK19010000 logid="0100032002" type="event" subtype="system" level="alert" vd="root" eventtime=1690869942 logdesc="Admin login failed" sn="0" user="admin" ui="ssh(193.35.18.101)" method="ssh" srcip=193.35.18.101 dstip=61.252.25.119 action="login" status="failed" reason="ip_blocked" msg="Administrator admin login failed from ssh(193.35.18.101) because of blocked IP"

文中有寫到原因是因為ip是在黑名單中
想請教一下,該如何設定黑名單ip所作的這些操作,能否不要再寄信通知
反正都是無法成功登入的
不然每天光是收這些信件就上百封的
無法有效收到真正有問題的信件

信件內容2:
Message meets Alert condition
The following critical firewall event was detected: Admin login failed.
date=2023-08-01 time=09:35:04 devname=numax-slave devid=FGT60ETK19010000 logid="0100032002" type="event" subtype="system" level="alert" vd="root" eventtime=1690853704 logdesc="Admin login failed" sn="0" user="admin123" ui="ssh(141.98.11.11)" method="ssh" srcip=141.98.11.11 dstip=61.252.25.119 action="login" status="failed" reason="name_invalid" msg="Administrator admin123 login failed from ssh(141.98.11.11) because of invalid user name"

文中有寫到原因是因為不正確的user name
能否設定這個ip登入失敗幾次後,就加入黑名單
然後接著就會變成信件內文1的那個case

還請各位專家們指點一下了,謝謝

看更多先前的討論...收起先前的討論...
harry731 iT邦新手 2 級 ‧ 2023-08-14 09:12:50 檢舉
我不是專家
我只是想說,您要不要把你們家的IP打碼一下?
breakgod iT邦新手 2 級 ‧ 2023-08-14 09:27:33 檢舉
外網ip就無所謂了~公司ip的話,發文時都有調整過(非公司正式ip),謝謝提醒喔^^
DennisLu iT邦好手 1 級 ‧ 2023-08-14 09:41:32 檢舉
有什麼需求需要把forti 的 ssh 開放給外網也可存取?
mathewkl iT邦高手 1 級 ‧ 2023-08-14 12:12:48 檢舉
對阿,什麼需求需要開外網存取SSH? 你應該是關閉外網存取port而不是關報告通知吧
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
sucksemil
iT邦新手 1 級 ‧ 2023-08-15 16:59:01
最佳解答

我之前看到一堆嘗試登入的log實在很煩,就改成只能從內網登入
想從外網登入fortigate要先登入vpn
自此後就完全看不到嘗試登入的lag了

1
bluegrass
iT邦高手 1 級 ‧ 2023-08-14 09:35:00

https://ithelp.ithome.com.tw/upload/images/20230814/20102031n8QShz4HRa.png

關了吧

0
sd3388
iT邦好手 1 級 ‧ 2023-08-14 13:17:06

除了bluegrass大大建議的方式給關掉log
我真心覺得你用這台60E沒什麼資安概念
還是好好找一家會這牌的SI來合作

然後,關掉LOG
你就看不到是誰來嘗試登入了
請問要如何加進黑名單
我比較愚昧
想看看怎樣解這個悖論

0
rb1102
iT邦研究生 2 級 ‧ 2023-08-14 17:13:08

採用信任主機(白名單)是不是比較符合你的要求?

sd3388 iT邦好手 1 級 ‧ 2023-08-14 17:32:36 檢舉

採用信任主機(白名單)並不能阻止他人來嘗試登入

breakgod iT邦新手 2 級 ‧ 2023-08-15 08:33:45 檢舉

是的,目前我是有設定指定ip才可以連線進去,所以才會有一堆非允許的ip登入記錄

0
eric_hsu58
iT邦新手 3 級 ‧ 2023-08-15 11:00:37

建議不要直接開放 ssh 外部IP 直接登入的操作,應該是有 SSH 連線需求,先透過 VPN 連線到 Fortigate ,透過 VPN 去連接 SSH 。
另外管理員名稱也不要再使用 admin ,更改其他名稱,比較不容易被猜出來。

我要發表回答

立即登入回答