1 Temat przez artur_n (edytowany przez artur_n 2024-01-27 17:09:59)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Temat: Fortigate

Witam,
Potrzebuje pomocy z konfiguracją Fortigate. Od kilku dni notuję próby logowania na konto admina. Nie wiem w jaki sposób skoro na zewnątrz wystawiony jest tylko VPN.

Do meritum, próby są z 3 adresów IP z Rosji, czy ktoś ma wiedzę jak te adresy zablokować?

Treść zgłoszenia:

Message meets Alert condition
The following critical firewall event was detected: Admin login failed.
date=2024-01-27 time=16:49:03 devname=FGTxxxxxxxxx
devid=FGTxxxxxxxxx
logid=0100032002 type=event subtype=system level=alert vd=root logdesc="Admin login failed" sn=0 user="onedrive" ui=https(xxxxxxxxxxxx) method=https srcip=xxxxxxxxxxx
dstip=xxxxxxxxxxx
action=login status=failed reason="name_invalid" msg="Administrator onedrive login failed from https(xxxxxxxxxx) because of invalid user name"
GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

2 Odpowiedź przez ambrozy5

  • Zarejestrowany: 2015-01-27
  • Posty: 2,429

Odp: Fortigate

tzn ? a skanowales porty na tym ip wan fortigate ?

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | 6x Ruckus r310 unleashed  + Ruckus icx7150-c12p | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd smile 100Mb/s - 25Gb/s
Podróżne : GL.Inet MT3000  +1TB hdd
Działka : rb260gs 1j wdm 1Gb+ ruckus r310 + nb m5 + kilka kamer ip  + panel 285Wp + lifepo4 12v 60Ah .

3 Odpowiedź przez artur_n

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Fortigate

Konfiguracja jest nie zmieniona od dłuższego czasu taka sytuacja ma miejsce pierwszy raz. Nie skanowałem żadnych portów.

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

4 Odpowiedź przez zakk87 (edytowany przez zakk87 2024-01-29 10:53:12)

  • zakk87
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2022-12-05
  • Posty: 41

Odp: Fortigate

masz 2 opcje, albo zrobić w tunelu zaufaną strefę tylko dla Polski albo w firewall dodać rosję i chiny do krajów blokowanych.

sposób 1. wejdź w Policy&Objects>Adresses, dodaj nowy adres, zaznaczasz typ jako geo, wybierasz Polskę.
https://imgur.com/B7zKgxr.png

w ustawieniach VPN zaznaczasz restrykcję i wskazujesz poprzednio stworzony profil geo.
https://imgur.com/AakB0e8.jpg

drugiego sposobu nie opisuję jeżeli jesteś pewien, że logi pochodzą z VPN.


Pytanie czy logi pochodzą z firewall czy z VPN bo może masz coś otwartego na WAN?

5 Odpowiedź przez artur_n (edytowany przez artur_n 2024-01-29 12:17:44)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Fortigate

Nie mam nic wystawionego na WAN. Jedynie do VPN jest dostęp z zewnątrz.

Tej sekcji VPN nie mam skonfigurowanej:
https://i.ibb.co/0V52JCk/VPN.png



Używam opcji Pre-shared Key

Tak wygląda log:

https://i.ibb.co/1q9ttX5/LOG.png

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

6 Odpowiedź przez zakk87

  • zakk87
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2022-12-05
  • Posty: 41

Odp: Fortigate

wpisz sobie albo statyczny adres IP albo geo PL w firewall > adresses i tutaj w connection settings dodaj ten obiekt.