iT邦幫忙

1

fortigate 外部惡意存取設備 如何阻擋

  • 分享至 

  • xImage

各位大大好
最近防火牆不斷跳出log 如下
Message meets Alert condition
The following critical firewall event was detected: Admin login failed.
date=2024-01-18 time=17:29:53 devname=xxx-FG201E devid=FG201xxxxxx eventtime=1705570193166892693 tz="+0800" logid="0100032002" type="event" subtype="system" level="alert" vd="root" logdesc="Admin login failed" sn="0" user="esx" ui="https(94.232.47.214)" method="https" srcip=94.232.47.214 dstip=11.11.11.11 action="login" status="failed" reason="name_invalid" msg="Administrator esx login failed from https(94.232.47.214) because of invalid user name"
該ip對我的設備不斷的嘗試帳號密碼
當然我知道對方目前是猜錯了帳號.但總覺得風險很大,最近來源都是這個俄羅斯ip
我查了下是否要使用 local in policy 去設定. 或是用一般的policy 即可
是否方便告知下比較如何設定比較妥當
請大大指導下

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
mathewkl
iT邦高手 1 級 ‧ 2024-01-18 20:53:55
最佳解答

把防火牆對外IP介面的HTTPS之類的存取服務都關掉
要進防火牆就請先VPN進內網

都關了就沒人可以從外部測你的密碼,直接被deny

看更多先前的回應...收起先前的回應...
allen1975 iT邦新手 1 級 ‧ 2024-01-19 08:53:43 檢舉

謝謝分享.我想也應該直接關掉這服務好了

bluegrass iT邦高手 1 級 ‧ 2024-01-19 09:17:30 檢舉

你在administrator那邊設TRUST HOST就可以了其實.

allen1975 iT邦新手 1 級 ‧ 2024-01-19 09:58:04 檢舉

因為有時候可能需要使用手機連回公司網路. 所以比較沒辦法固定ip

sd3388 iT邦好手 1 級 ‧ 2024-01-19 11:56:23 檢舉

進防火牆就請先VPN進內網

結果換VPN入口被try ???

mathewkl iT邦高手 1 級 ‧ 2024-01-19 14:28:40 檢舉

公司有狀況你是能排除萬難最速殺進公司解決嗎= =
try VPN總比直接try防火牆登入好吧?

sd3388 iT邦好手 1 級 ‧ 2024-01-19 15:13:13 檢舉

顯然有人是根本不懂Fortigate防火牆的實際運作
看看2023/07在TWcert有關的報導
三十萬台以上 Fortinet 防火牆仍未修補嚴重漏洞 CVE-2023-27997
講的就是SSL VPN登入的漏洞
業界去年為此吵了有好多回

事實上防火牆原本就是有開放對外的IP
要想完全避免有心人一直嘗試搞你的防火牆根本就很難
因為主動權在有心人手上
不然FortiOS也不用在7.2版以後搞Virtual patching
防火牆本機自身的防護也是目前資安重點之一

回應mathewkl大的說法
防護搞VPN進或直接搞Fortigate事實上是一樣的風險
對本機而言並不是比較好的解決方案
而進到內網主機的存取是另一種情況
同時Fortigate作為知名防火牆
根本很少聽過被外部直接攻入防火牆本機
反倒是SSLVPN有過不少災情
如果你公司願意實做看看實際的攻防
或是找紅隊來演練一下
就會發現實際狀況仍然會有相關log

0
sd3388
iT邦好手 1 級 ‧ 2024-01-18 19:04:59

如果你是想要這個IP別來暴力嘗試登入
基本上是做不到,因為你已經暴露聯外IP了
就算用Local in policy也是辦不到

你頂多只是讓他不能成功而已
留下滿滿的log有connect failed紀錄
乖乖限制admin來源或刪掉admin比較實在

allen1975 iT邦新手 1 級 ‧ 2024-01-19 08:56:41 檢舉

了解.的確也是慢滿的log. 最近開始比較多
謝謝你的回答

1
ommjki
iT邦新手 3 級 ‧ 2024-01-19 08:50:06

可以參考以下這個連結設定
https://blog.lone.tw/2022/09/external-block-list-threat-feed.html

小弟照這個設了之後
真的少了很多人再Try SSLVPN

另原廠也有設定說明
https://docs.fortinet.com/document/fortigate/6.2.0/new-features/625349/external-block-list-threat-feed-policy

提供參考

allen1975 iT邦新手 1 級 ‧ 2024-01-19 08:55:44 檢舉

這次主要來源是透過https進行測試帳密
關於sslvpn部分也感謝你提供意見

bluegrass iT邦高手 1 級 ‧ 2024-01-19 09:16:39 檢舉

你這個做法是針對INCOMING SERVICE的VIP OBJECT才有效

旦不是LOCAL-IN-POLICY, SSLVPN LOGIN頁面不會有用

旦如果真用在LOCAL-IN-POLICY, 你會弄死自己的

firehol_level1也有很多問題, 不會別亂用

裹面有包括10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16等重要的PRIVATE SUBNETS

搞不好就這一輩子都進不了FORTIGATE了

1
mytiny
iT邦超人 1 級 ‧ 2024-01-19 10:27:19

看到有人提問,果然最近蠻多這現象
手邊已經處理過好幾個這樣的CASE
其實真正有損害的很少
只是一直有這樣的Log很鬧心
關掉https或採用外部Block List都不會真正有效
嘗試暴力登入會一直不能成功但會換IP一直嘗試

最直接的方法是Ban IP
因為Log會有來源IP
可以將它放入封鎖IP
注意,這並不是在防火牆policy做條政策
而是在FortiView裡的"隔離監視器"
在OS 7.2.x以後可以手動加入封鎖IP並限定隔離時間

有人會說那手動太麻煩了
其實自動的方法也有
建議找SI詳聊,這裡篇幅有限
其中一種方法是用"自動化動作"
或是在架構上做一些變動

至於有說關掉https那真不是好辦法
用VPN登入頁面也會被嘗試登入
限制來源IP方法還不錯
但有時為了方便遠端管理
請將登入帳號加上2FA驗證
在FGT本身就有送兩組Token可以好好採用
會比用M商或G商的安全性高
因為Idp與Sp還有account分置不同三處

感覺有點離題了
管理FGT充滿科技與狠活呀
以前常常有人問防火牆為什麼要買這些Gartner有榜的名牌
從樓主這題就可以看出
其實防火牆是常常被嘗試攻擊的
只是可能都沒有注意log

allen1975 iT邦新手 1 級 ‧ 2024-01-19 10:42:39 檢舉

說的是,最近這類log增加的很多.攻防本來就是一直一來要做的事情
畢竟設備不是買了放在那而已.時時注意log做出應變
總比什麼都不做的好

我要發表回答

立即登入回答