Ataques de fuerza bruta contra una vpn ssl en fortigate

Vamos a por la de hoy, resulta que a alguien le ha parecido interesante empezar a probar un diccionario contra algunos de nuestros firewalls. Y lo peor es que, no hay forma de pararlo (mejor me callo lo que pienso). La solución siempre pasa por lo mismo, pagar más pasta.

Opción 1 -> Desactiva la vpn ssl. No te jode, si no la necesitara no estaría habilitada.
Opción 2 -> Deniega las ips que te están zumbando, cosa que suena bien … si no fuera porque hay que hacerlo a mano (y firewall a firewall), vamos no me jodas, en pleno siglo XXI.

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-hide-FortiGate-login-page-using-local-in/ta-p/209505

Opción 3 -> Bloquear la ip después de unos cuantos intentos de acceso (cosa que me jode a mí directamente, porque a veces me bloqueo hasta yo).

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-limit-SSL-VPN-login-attempts-and-block/ta-p/194229

Opción 4 -> Bloquear por país de origen … que tampoco me hace demasiada gracia.

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Restricting-SSL-VPN-connectivity-from-certain/ta-p/191997

Luego hay soluciones de lo más imaginativas, todas basadas en la seguridad por ocultación, cosas como cambiar el puerto, pero vamos que no mitigan el acceso. Yo lo que quiero es que si un tío intenta entrar n veces con n usuarios se le meta en una blacklist de por vida.

Más información (más de lo mismo)

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-secure-and-limiting-SSL-VPN-unknown-user/ta-p/224096

No me creo que no haya una forma sencilla de decir, busca en este feed y bloquea todas las ips (algo que se puede hacer desde la politica normal).

Resulta que si que puede, en la local policy tienes que seleccionar un objeto, y se puede poner como denegado. Asi que puedes pillar uno de los objetos (feed) y negarlo. Es raro, pero funciona. Eso si, aun no he sido capaz de verlo en los logs (que no sean ssl).

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.