各位大大好
最近防火牆不斷跳出log 如下
Message meets Alert condition
The following critical firewall event was detected: Admin login failed.
date=2024-01-18 time=17:29:53 devname=xxx-FG201E devid=FG201xxxxxx eventtime=1705570193166892693 tz="+0800" logid="0100032002" type="event" subtype="system" level="alert" vd="root" logdesc="Admin login failed" sn="0" user="esx" ui="https(94.232.47.214)" method="https" srcip=94.232.47.214 dstip=11.11.11.11 action="login" status="failed" reason="name_invalid" msg="Administrator esx login failed from https(94.232.47.214) because of invalid user name"
該ip對我的設備不斷的嘗試帳號密碼
當然我知道對方目前是猜錯了帳號.但總覺得風險很大,最近來源都是這個俄羅斯ip
我查了下是否要使用 local in policy 去設定. 或是用一般的policy 即可
是否方便告知下比較如何設定比較妥當
請大大指導下
已邀請的邦友 {{ invite_list.length }}/5
把防火牆對外IP介面的HTTPS之類的存取服務都關掉
要進防火牆就請先VPN進內網
都關了就沒人可以從外部測你的密碼,直接被deny
進防火牆就請先VPN進內網
公司有狀況你是能排除萬難最速殺進公司解決嗎= =
try VPN總比直接try防火牆登入好吧?
顯然有人是根本不懂Fortigate防火牆的實際運作
看看2023/07在TWcert有關的報導
三十萬台以上 Fortinet 防火牆仍未修補嚴重漏洞 CVE-2023-27997
講的就是SSL VPN登入的漏洞
業界去年為此吵了有好多回
事實上防火牆原本就是有開放對外的IP
要想完全避免有心人一直嘗試搞你的防火牆根本就很難
因為主動權在有心人手上
不然FortiOS也不用在7.2版以後搞Virtual patching
防火牆本機自身的防護也是目前資安重點之一
回應mathewkl大的說法
防護搞VPN進或直接搞Fortigate事實上是一樣的風險
對本機而言並不是比較好的解決方案
而進到內網主機的存取是另一種情況
同時Fortigate作為知名防火牆
根本很少聽過被外部直接攻入防火牆本機
反倒是SSLVPN有過不少災情
如果你公司願意實做看看實際的攻防
或是找紅隊來演練一下
就會發現實際狀況仍然會有相關log
如果你是想要這個IP別來暴力嘗試登入
基本上是做不到,因為你已經暴露聯外IP了
就算用Local in policy也是辦不到
你頂多只是讓他不能成功而已
留下滿滿的log有connect failed紀錄
乖乖限制admin來源或刪掉admin比較實在
可以參考以下這個連結設定
https://blog.lone.tw/2022/09/external-block-list-threat-feed.html
小弟照這個設了之後
真的少了很多人再Try SSLVPN
提供參考
看到有人提問,果然最近蠻多這現象
手邊已經處理過好幾個這樣的CASE
其實真正有損害的很少
只是一直有這樣的Log很鬧心
關掉https或採用外部Block List都不會真正有效
嘗試暴力登入會一直不能成功但會換IP一直嘗試
最直接的方法是Ban IP
因為Log會有來源IP
可以將它放入封鎖IP
注意,這並不是在防火牆policy做條政策
而是在FortiView裡的"隔離監視器"
在OS 7.2.x以後可以手動加入封鎖IP並限定隔離時間
有人會說那手動太麻煩了
其實自動的方法也有
建議找SI詳聊,這裡篇幅有限
其中一種方法是用"自動化動作"
或是在架構上做一些變動
至於有說關掉https那真不是好辦法
用VPN登入頁面也會被嘗試登入
限制來源IP方法還不錯
但有時為了方便遠端管理
請將登入帳號加上2FA驗證
在FGT本身就有送兩組Token可以好好採用
會比用M商或G商的安全性高
因為Idp與Sp還有account分置不同三處
感覺有點離題了
管理FGT充滿科技與狠活呀
以前常常有人問防火牆為什麼要買這些Gartner有榜的名牌
從樓主這題就可以看出
其實防火牆是常常被嘗試攻擊的
只是可能都沒有注意log
iThome鐵人賽
看影片追技術