¡Hola!
Tengo dispositivos Firepower ejecutando ASA.
Me gustaría usar un puerto específico para el portal web (principalmente utilizado para descargar el cliente VPN) para bloquear su acceso desde Internet.
El problema es que si lo cambio, también cambia el puerto del VPN SSL utilizado para las conexiones VPN.
No pude encontrar cómo hacerlo por separado en la CLI y si cambias el puerto mediante el ASDM en el menú “Acceso VPN SSL sin cliente”, automáticamente cambiará en el menú “Acceso a la red (cliente)”.
¿Hay alguna forma de cambiarlo sin afectar el puerto del VPN SSL?
Gracias de antemano, ¡que tengan un gran día!
¿Cuál es el propósito principal de esto?
La respuesta correcta es una ACL en la capa de control en la interfaz exterior con un grupo de objetos de lista negra de IPs.
Bloquear los ataques de fuerza bruta en las autenticaciones que tenemos en el portal web.
Implementar autentificación con certificado de máquina + usuario/contraseña. Cuando se inicia la conexión AnyConnect, primero ocurre la verificación del certificado. Si pasa, entonces AnyConnect pedirá el usuario/contraseña. Si falla, no aparece la ventana emergente. Esto elimina los ataques de aspersión de contraseñas.
Gracias por tu respuesta.
Eso suena como una buena opción, pero nunca he implementado un certificado de máquina.
Tenemos una amplia variedad de dispositivos que se conectan a nuestro VPN, incluyendo muchas computadoras que no gestionamos.
¿Es posible implementar certificados de máquina en este caso?
¿Conoces recursos buenos sobre certificados de máquina que pueda leer o podrías explicarme cómo funciona?
¡Parece muy prometedor!
Gracias por esto, lo implementaré lo antes posible y veré qué tan efectivo es.
Yo te lo prometo, funcionará.
Funciona bien, de hecho.
Nuestros usuarios no son los más listos, así que tenemos algunos (solo uno por ahora) falsos positivos.
También parece que han reducido algunos de sus ataques de aspersión de contraseñas. Cada IP intenta de 3 a 6 contraseñas máximo en 12 horas, así que no podemos rechazarlas todas.
Sí, algunos también lograron pasar para nosotros. Solo tuvimos un par de falsos positivos, generalmente 10+ fallos de autenticación bloqueaban la IP de un usuario.