Привет, ребята.
За последние несколько часов кто-то пробовал использовать все возможные стандартные имена пользователей, чтобы войти в мой файрвол через SSLVPN.
Поскольку у нас есть только сотрудники из локальной сети, я решил просто заблокировать VPN по гео-локации Израиля.
Вот соответствующие части конфигурации:
config vpn ssl settings
set ssl-min-proto-ver tls1-1
set servercert "acme-AJ"
set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"
set tunnel-ipv6-pools "SSLVPN_TUNNEL_IPv6_ADDR1"
set source-interface "port1"
set source-address "Israel"
set default-portal "web-access"
next
end
config firewall address
edit "Israel"
set uuid 674230c8-aafa-51ed-9194-4baa5646c1f6
set type geography
set country "IL"
next
end
и все равно я вижу соединения от этого злоумышленника, хотя тест GEO-IP Fortinet показывает, что он находится в Нидерландах:
AllJobs_FGT1 $ diagnose geoip geoip-query 185.224.128.240
IP:185.224.128.240
{
"city":{
"geoname_id":2753240,
"names":{
"en":"Wormerland"
}
},
"continent":{
"code":"EU",
"names":{
"en":"Europe"
}
},
"country":{
"iso_code":"NL",
"names":{
"en":"Netherlands"
}
},
"subdivisions":[
{
"names":{
"en":"North Holland"
}
}
],
"location":{
"latitude":52.507271,
"longitude":4.852800,
"time_zone":"Europe\/Amsterdam"
},
"postal":{
"code":"1509"
}
}
Что я упустил здесь?