Vi har for nylig set gentagne SSL VPN loginforsøg fra forskellige IP-adresser med de samme brugernavne. Selvom det er generelt hjælpsomt at implementere en login grænse og timeout, ser vi kun IP-adresser brugt to gange. Er det muligt at blokere VPN login-fejl baseret på brugernavn på samme måde? For eksempel, hvis brugernavnet ‘admin’ bruges mere end to gange, vil eventuelle efterfølgende forsøg med det brugernavn blive blokeret. Al hjælp værdsættes! Vi kører en FG 200F på 7.0.13.
Mit forslag er at bruge Threat Feed og ISDB til at nægte trafik, når du sætter din SSL VPN-grænseflade på Loopback.
Brug også en lokal webserver med din egen IP-blokeringsliste, fordi nogle af de dårlige IP’er ikke er sortlistede baseret på antallet af rapporter, så du kan blokere din egen liste også, hvis IP’en rammer for meget, og den ikke er i Threat Feed sortlisten.
Brug ikke almindelige brugernavne som fornavn.efternavn, da angribere prøver med generiske brugere, og få også information fra Linkden.
Jeg fandt dette via månedligt fastgjort indhold. Yurisk har en masse super nyttig info.
https://yurisk.info/2023/03/21/fortigate-vpn-ssl-hardening-guide/