En este artículo, abordamos la configuración de una política de local-in en dispositivos FortiGate para restringir el acceso administrativo SSH desde un país específico utilizando puertos no comunes. Este problema es relevante para fortalecer la seguridad del acceso administrativo, lo que evita conexiones no autorizadas y potenciales brechas de seguridad. A través de una serie de pasos claros, este artículo ayudará en la implementación de esta configuración para mejorar la protección de la red.
Descripción del problema
El acceso no autorizado a la administración de SSH puede ser un riesgo significativo para la seguridad de la red. Permitir el acceso desde cualquier ubicación geográfica aumenta las probabilidades de ataques e intrusiones. Configurando políticas de local-in, puedes limitar el acceso a direcciones IP de países específicos, protegiendo así el acceso administrativo a tus dispositivos FortiGate.
Alcance
Esta guía es aplicable a equipos que ejecutan FortiOS y la serie de dispositivos FortiGate.
Diagnóstico paso a paso
A continuación se detallan los pasos necesarios para configurar una política de local-in:
Ejemplo de configuración
- Puerto SSH: 2246
- País permitido: México
- Configura un objeto Geo-IP:
- Configura un objeto de servicio:
- Habilita la característica Local-In Policy.
- Configura una política de Local-In para permitir el país de origen:
config firewall local-in-policy
edit 1
set intf «wan1»
set srcaddr «MEXICO»
set dstaddr «all»
set action accept
set service «SSH_Admin»
set schedule «always»
next
end
- Configura una política de Local-In para negar todas las demás fuentes:
config firewall local-in-policy
edit 2
set intf «wan2»
set srcaddr «all»
set dstaddr «all»
set action deny
set service «SSH_Admin»
set schedule «always»
set status enable
next
end
- Valida los logs:
date=2024-10-21 time=09:18:05 id=7428248532324188160 itime=»2024-10-21 08:18:07″ euid=3 epid=101 dsteuid=3 dstepid=101 logflag=3 logver=702091688 sfsid=0 type=»traffic» subtype=»local» level=»notice» action=»deny» policyid=2 sessionid=269970 srcip=186.114.XX.XX dstip=XXX.XXX.XXX.XXX srcport=55018 dstport=2246 trandisp=»noop» duration=0 proto=6 sentbyte=0 rcvdbyte=0 sentpkt=0 rcvdpkt=0 logid=0001000014 service=»SSH_Admin» app=»Console Management(SSH)» appcat=»unscanned» srcintfrole=»wan» dstintfrole=»undefined» policytype=»local-in-policy» eventtime=1729523884801061949 crscore=5 craction=262144 crlevel=»low» poluuid=»bb4b84cc-8f72-51ef-52c5-4fe64a174580″ srccountry=»Colombia» dstcountry=»Reserved» srcintf=»wan2″ dstintf=»root» tz=»-0600″ devid=»FWFxxxxxxxx1157″ vd=»root» csf=»fabric» dtime=»2024-10-21 09:18:05″ itime_t=1729523887 devname=»FGT-JoN»
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!