各位好,
想詢問Fortigate是否可以設定 : 若外部IP使用不存在的User嘗試登入,若IP非指定國家,則封鎖嘗試使用該User Name登入的所有IP?
若可以,請一併告知如何解除封鎖,感謝各位。
(被try login猜到有點怕,雖說有2FA,但是每天收上千封通知信也是很毛...)
可以參考https://community.fortinet.com/t5/Support-Forum/Howto-unblock-banned-IP-on-SSL-VPN/td-p/210358
內部的說明在CLI內輸入限制錯誤的次數和鎖定時間,
但是這功能我在7.2.4版測試如果有人真的錯太多次被鎖,我還沒找到解鎖的方式。
config vpn ssl settings
set login-attempt-limit 3
set login-block-time 180
end
我就想問你是不是劃錯重點
為什麼會每天收上千封暴力登入通知信
難到你沒有轉service port嗎?
沒想過為什麼轉了還那麼多暴力登入
還有都買2FA了
你家服務的SI呢?
我就想針對你問的"重點"回答 :
就經驗回應一下,您參考,覺得我說的不對,就以你說的算
1.已經被攻擊了(有呈堂證據),絕對是user惹的禍,告訴決策者,不改肯定有被搞倒的一天,讓上面清楚後果來做決策
2.貴公司規模大,但是一般會去的國家也有限,有限制來源比沒限制差距很多,實作的規模差距比在200:1以上
3.如果SI不夠力,有代理商,代理商不夠力,有原廠,我問我家SI他叫我別管閒事,但是他說有FortiSASE可用。
PS.登入SSLVPN被拒有Log可查,如果是flood在local in log
那我來去問SASE方案好了...不然每天被這樣搞很阿砸,上面又覺得收個信又沒什麼,然後這件事情又要寫報告...
我先用ACL先擋住好了,不過對方try的國家別有夠多...