Hola a tod@s,
En este post vamos a ver cómo bloquear conexiones VPN SSL desde ciertas IPs públicas en un firewall Fortigate.
- En muchas ocasiones podemos ver en los logs de nuestros firewalls fortigate, que están intentando acceder a nuestra conexión VPN SSL desde IPs sospechosas, en esta captura podemos ver intentos de sesión fallidos desde una IP y está intentando probar con distintos usuarios:
- Para bloquear a esta IP pública, lo primero que voy a realizar será crearme un grupo de direcciones llamado blacklistipp, dónde iré añadiendo todas las IPs públicas sospechosas:
- Antes he creado los objetos de cada dirección IP pública, aquí muestro un ejemplo:
- Así nos quedaría:
- Para bloquear las conexiones VPN SSL a estas IPs públicas, accedemos a la consola de nuestro firewall y nos vamos a la configuración de la VPN SSL, con el comando config vpn ssl setting, una vez dentro de la configuración ejecutamos, set source-address «blacklistipp» y set source-address-negate enable, con el comando show podemos ver que la configuración se ha aplicado:
- Ahora, cuando un usuario intente conectarse desde una IP pública de la lista, la VPN SSL será rechazada:
- Es posible ver, que una de estas IPs públicas de la lista bloqueada está intentando conectarse, pero nuestro FortiGate no responde, para ello, ejecutamos el comando diagnose sniffer packet any «host 80.94.95.175 and port 10443» 4:
- Como podemos ver, si ejecutamos el comando, get vpn ssl monitor, se permitirá la conexión desde las IPs que no estén en la lista y se establecerán las conexiones:
- Otra forma de limitar el acceso, es irse a la Configuración de SSL_VPN > Restringir Acceso y Limitar acceso a hosts específicos, dónde configuro la restricción para el grupo de IPs públicas bloqueadas, aquí el problema es que la conexión no se rechaza en una primera instancia, es decir, nos va a dejar introducir las credenciales y una vez introducidas bloquea la conexión, con el método visto anteriormente por consola, la conexión se rechaza desde primera hora:
- Sobre este post realizado por mi compañero Héctor Herrero del blog Bujarra, podemos aplicar las listas dinámicas que nos está indicando sobre la configuración de la VPN, quedando de esta manera:
Saludos y espero que os sea de ayuda 😉