Estava analisando os logs do Fortigate SSL-VPN recentemente
Existem registros assim:
Não há usuário ‘root’ que eu adicionei, nem o firewall está perto da Argentina. Isso é um hack?
Não há usuário ‘root’ que eu adicionei, nem o firewall está perto da Argentina. Isso é um hack?
OP, isso são apenas tentativas de conexão via VPN. Você pode consultar este Dica Técnica onde eles explicam cada log de evento SSL VPN https://community.fortinet.com/t5/FortiGate/Technical-Tip-SSL-VPN-event-logs-when-successfully-connected/ta-p/331206
Se você quer revisar os logins bem-sucedidos de VPN, deve procurar nos Eventos 39947 e 39424.
OP, isso é apenas uma nova conexão. Mas se você não precisa de conexões vindas da Argentina, eu não as autorizaria. Recomendo seguir este guia de endurecimento - Technical Tip: Hardening FortiGate SSL VPN - Best ... - Fortinet Community
root é sua configuração principal única/não-vdom basicamente.
toda a sua configuração base está vinculada ao root, então nada para se preocupar.
Parece que não há o que se preocupar.
Mas, uma pergunta aos profissionais:
Como rastrear a qual sessão de usuário esse evento está vinculado?
Porque aqui posso apenas ver que uma nova conexão SSL foi estabelecida, mas sem informações sobre usuário ou IP de origem.
Obrigado a todos pelas explicações rápidas!
“ssl-new-conn” não significa que um usuário autenticou com sucesso no Fortigate, isso apenas indica que alguém iniciou uma nova conexão, isso pode ser um usuário legítimo ou alguém espionando.
“tunnel-up” é o evento correto e fornecerá o usuário associado que fez login. Existem 2 logs sob a ação “tunnel-up”: ssl-web e ssl-tunnel, “ssl-tunnel” é o desejado, pois contém o UID do FortiClient, IP do túnel e o nome de usuário do usuário autenticado.