0

Bloquear conexiones VPN SSL desde ciertas IPs públicas en Firewall Fortigate

Hola a tod@s,

En este post vamos a ver cómo bloquear conexiones VPN SSL desde ciertas IPs públicas en un firewall Fortigate.

  • En muchas ocasiones podemos ver en los logs de nuestros firewalls fortigate, que están intentando acceder a nuestra conexión VPN SSL desde IPs sospechosas, en esta captura podemos ver intentos de sesión fallidos desde una IP y está intentando probar con distintos usuarios:

  • Para bloquear a esta IP pública, lo primero que voy a realizar será crearme un grupo de direcciones llamado blacklistipp, dónde iré añadiendo todas las IPs públicas sospechosas:

  • Antes he creado los objetos de cada dirección IP pública, aquí muestro un ejemplo:

  • Así nos quedaría:

  • Para bloquear las conexiones VPN SSL a estas IPs públicas, accedemos a la consola de nuestro firewall y nos vamos a la configuración de la VPN SSL, con el comando config vpn ssl setting, una vez dentro de la configuración ejecutamos, set source-address «blacklistipp» y set source-address-negate enable, con el comando show podemos ver que la configuración se ha aplicado:

  • Ahora, cuando un usuario intente conectarse desde una IP pública de la lista, la VPN SSL será rechazada:

  • Es posible ver, que una de estas IPs públicas de la lista bloqueada está intentando conectarse, pero nuestro FortiGate no responde, para ello, ejecutamos el comando diagnose sniffer packet any «host 80.94.95.175 and port 10443» 4:

  • Como podemos ver, si ejecutamos el comando, get vpn ssl monitor, se permitirá la conexión desde las IPs que no estén en la lista y se establecerán las conexiones:

  • Otra forma de limitar el acceso, es irse a la Configuración de SSL_VPN > Restringir Acceso y Limitar acceso a hosts específicos, dónde configuro la restricción para el grupo de IPs públicas bloqueadas, aquí el problema es que la conexión no se rechaza en una primera instancia, es decir, nos va a dejar introducir las credenciales y una vez introducidas bloquea la conexión, con el método visto anteriormente por consola, la conexión se rechaza desde primera hora:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.