這次需求是公司的防火牆突然遭到不明來源ip不斷測試連線我們的VPN入口,防火牆發出告警,有頻率大概是每小8~9次的登入測試,來源ip來自各個國家(有印尼、越南等.......)、登入帳號是administrator和admin兩組,很明顯地,VPN入口ip和port被掃到後,對方用Fortigate 100D預設的帳號、加上機器人的方式,企圖想登入我方防火牆,雖然最後他沒有成功,但這次事件值得重視,也剛好當作防火牆防禦的實作經驗參考。
前後我們將防火牆的調整做了三個調整:
1.修改VPN預設的port。
2.限制來源ip只能是本地。
3.關閉VPN web入口。
2.限制來源ip只能是本地。
3.關閉VPN web入口。
4.變更管理員帳號。
一.修改VPN預設的port
當初開放VPN時只套用預設值443,這點是非常不安全的,443 port是通用端口,極為容易被惡意攻擊者掃到,所以第一步就是馬上把設定改掉,改完後也要通知正常用戶,連線端口也要變更才能連線VPN。
二.限制來源ip只能是本地
如果Fortigate有簽UTM合約的話,原廠那邊通常會持續更新各地區的ip地理位置,如果資訊無誤的話,我們可以建立地理物件,並將此物件加入到VPN的設定,以後只有本地的ip才能夠連線,不然任何來源都會被防火牆drop掉。這個設定在UI介面是沒有開啟的,必須要手動在cli上加進去。
1.建立地理位置的物件
2.將物件加入VPN設定
開啟cli,輸入指令
# config vpn ssl settings
# set source-address "Taiwan"
# set source-address "Taiwan"
# show vpn ssl settings
# end
 |
| 回到SSL-VPN設定就會看到限制訪問的主機出現剛剛的物件 |
三.關閉VPN web入口
當初有開web入口是為了提供forticlient的APP下載功能,但後來其實官網就有可用套件了,所以開放web已經沒有必要,而且還會提升了被攻擊的機會,不如就直接關掉它,雖然沒有選項可直接關掉它,但可以用編輯網頁的方式,把<body>的內容都拿掉。
四.變更預設管理員帳號
將預設的管理員帳號名稱改掉,原廠提供的admin帳號太容易被猜到,建議修改或是乾脆降低權限。
沒有留言:
張貼留言