Apakah ada cara agar Fortigate dapat memblokir alamat IP dari percobaan otentikasi SSL VPN yang gagal dari pengguna yang tidak dikenal? Mungkin melalui stitch otomatisasi, atau metode lain?
Baru-baru ini melihat serangan penyemprotan kata sandi yang jauh lebih banyak di portal SSL VPN Fortigate kami. Pengguna mengotentikasi melalui LDAP dan sudah memiliki MFA. Saya hanya ingin menambahkan lapisan kontrol baru. Saya kira ini akan mirip dengan fitur smart lockout di Azure AD.
Serangan penyemprotan ini tampaknya menggunakan nama depan generik untuk nama pengguna. Untungnya kami tidak menggunakan nama pengguna yang sekadar ini.
Terima kasih atas ide apa pun sebelumnya.
Anda sebaiknya mengikuti Panduan pengamanan keras SSL yurisk. Ini akan mengurangi jumlah percobaan login
Ini bukan apa yang Anda cari tetapi ini membantu saya mengurangi jumlah login yang gagal. Saya mengatur ‘batasi akses’ ke alamat tertentu dan hanya mengizinkan objek alamat geo dari negara utama dan negara tetangga.
hindari port standar, izinkan hanya negara Anda atau blok IP yang Anda perlukan
Lihat riwayat posting saya karena saya baru saja memposting sketsa otomatisasi yang tepat yang Anda cari
Ada postingan hebat di sini dari satu atau dua minggu lalu yang menggambarkan metode di mana Anda mengikat server sslvpn Anda ke adapter loopback (bukan IP WAN) dan kemudian menggunakan feed ancaman di WAN ke kebijakan Loopback untuk memblokir secara dinamis seluruh ASN yang berisi IP yang mencurigakan atau terbukti jahat.
Selain membatasi akses ke alamat tertentu / alamat geo / mengubah port dll…
Saya juga menyarankan untuk menyiapkan kebijakan DDoS
Letakkan SSL VPN pada adapter Loopback dan kemudian pasang beberapa aturan di depan:
- Blokir lalu lintas dari negara tempat pengguna Anda tidak pernah mencoba terhubung
- Blokir “Layanan Internet”
- Node TOR (2 entri)
- Server berbahaya
- semua entri dengan kata “Scanner”
- VPN anonim
- Daftar hitam Proofpoint & Talos
Itu akan memblokir sebagian besar dari percobaan buruk tersebut 
Saya juga melakukannya, bersama dengan port non-standar, mereka turun selama dua minggu pertama dan perlahan kembali ke posisi semula 
Saya rasa ini akan menjadi sesuatu yang harus kita tangani, saya pasti merasa khawatir. Salah ketik nama, untuk token, menimpa kebijakan kata sandi di suatu tempat, masukkan kelompok yang salah. Banyak cara untuk mengacaukannya. Saya kira saya akan mengatakan, buat peringatan tentang perubahan firewall, buat kebijakan tentang cara membuat pengguna, miliki konfigurasi dasar VPN sehingga Anda bisa mengetahui perubahan apa yang telah dibuat dan akhirnya memiliki seseorang untuk memeriksa pekerjaan Anda jika memungkinkan.