iT邦幫忙

0

Fortigate SSLVPN相關問題

fortigate
望空 2023-11-01 10:56:411880 瀏覽

  • 分享至 

  • xImage

各位好,
想詢問Fortigate是否可以設定 : 若外部IP使用不存在的User嘗試登入,若IP非指定國家,則封鎖嘗試使用該User Name登入的所有IP?
若可以,請一併告知如何解除封鎖,感謝各位。
(被try login猜到有點怕,雖說有2FA,但是每天收上千封通知信也是很毛...)

看更多先前的討論...收起先前的討論...
竹本立里 iT邦好手 1 級 ‧ 2023-11-01 11:30:08 檢舉
若IP非指定國家....., 所以會連線的人 有特定國家嗎,例如只有台灣??

如果是這樣 可以限定只有台灣能連線
望空 iT邦新手 3 級 ‧ 2023-11-01 13:02:43 檢舉
因為沒有辦法指定國家(User到處跑),所以我原本也想用指定國家去搞...
zyman2008 iT邦大師 6 級 ‧ 2023-11-01 17:06:58 檢舉
SSL VPN 開 client 憑證驗證吧. 憑證沒驗過, 就沒機會進入 username / password 驗證階段.
安全跟便利真的很難兼顧
望空 iT邦新手 3 級 ‧ 2023-11-02 13:09:50 檢舉
只好跟SI以及公司的老人們談談憑證驗證了,不過如果憑證驗證沒過,還會有登入失敗通知嗎?
davihuan iT邦新手 3 級 ‧ 2023-11-02 21:02:53 檢舉
This article describes how to block certain IP addresses from connecting to SSL VPN, not by using local-in policy, or specific geolocation restrictions.

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-block-SSL-VPN-Connection-from-a-certain/ta-p/206883

大概是 SSLVPN 被撞到煩了

https://t.me/davihuantalks/10628
davihuan iT邦新手 3 級 ‧ 2023-11-02 21:03:55 檢舉
用戶端證書是最有用的方法,但是這個東西的前提是你每一個使用者的證書都要不一樣,有問題的時候你才知道要廢止哪一個。
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

0
cses902217
iT邦新手 5 級 ‧ 2023-11-01 11:11:15

可以參考https://community.fortinet.com/t5/Support-Forum/Howto-unblock-banned-IP-on-SSL-VPN/td-p/210358
內部的說明在CLI內輸入限制錯誤的次數和鎖定時間,
但是這功能我在7.2.4版測試如果有人真的錯太多次被鎖,我還沒找到解鎖的方式。
config vpn ssl settings
set login-attempt-limit 3
set login-block-time 180
end

望空 iT邦新手 3 級 ‧ 2023-11-01 11:21:02 檢舉

我也是有看到這篇,但是上面說這樣沒辦法透過WebUI介面看誰被ban...所以被否決了

登入發表回應
0
mathewkl
iT邦高手 1 級 ‧ 2023-11-01 11:31:44

可以直接限制那些裝置/地區可以使用SSLVPN
其他都會被隱性政策deny
https://ithelp.ithome.com.tw/upload/images/20231101/20106343wpwNzYM2l7.jpg

登入發表回應
0
sd3388
iT邦好手 1 級 ‧ 2023-11-01 23:57:39

我就想問你是不是劃錯重點
為什麼會每天收上千封暴力登入通知信
難到你沒有轉service port嗎?
沒想過為什麼轉了還那麼多暴力登入
還有都買2FA了
你家服務的SI呢?

看更多先前的回應...收起先前的回應...
望空 iT邦新手 3 級 ‧ 2023-11-02 13:08:50 檢舉

我就想針對你問的"重點"回答 :

  1. 你確定已經習慣操作的"老人"們會想要動那個service port嗎?有時候連內部web服務改個port禁止使用http,強制要用https都會該該叫了
  2. 我現在要的是,針對這些IP有自動ban且通過webui可以看到ban list的方式,跟2FA關係不大,只是又因為老人們會常常跑國外,所以無法用國籍限制,又因為透過指令去開fail2ban的話,webui沒有ban list,他們無從查核
  3. SI不夠力,就這樣。
sd3388 iT邦好手 1 級 ‧ 2023-11-02 15:52:08 檢舉

就經驗回應一下,您參考,覺得我說的不對,就以你說的算
1.已經被攻擊了(有呈堂證據),絕對是user惹的禍,告訴決策者,不改肯定有被搞倒的一天,讓上面清楚後果來做決策
2.貴公司規模大,但是一般會去的國家也有限,有限制來源比沒限制差距很多,實作的規模差距比在200:1以上
3.如果SI不夠力,有代理商,代理商不夠力,有原廠,我問我家SI他叫我別管閒事,但是他說有FortiSASE可用。
PS.登入SSLVPN被拒有Log可查,如果是flood在local in log

望空 iT邦新手 3 級 ‧ 2023-11-02 16:02:03 檢舉

那我來去問SASE方案好了...不然每天被這樣搞很阿砸,上面又覺得收個信又沒什麼,然後這件事情又要寫報告...

望空 iT邦新手 3 級 ‧ 2023-11-02 17:22:13 檢舉

我先用ACL先擋住好了,不過對方try的國家別有夠多...

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙