Esgotamento da licença SSLVPN em firewalls Gen7

04/18/2024 0 People found this article helpful 96,637 Views

Description

Este artigo explica os sintomas, a causa e a correção de um problema em que usuários SSLVPN remotos conectados a um firewall GEN7 operando nos firmware 7.1.1-7040, 7.1.1-7047 e 7.1.1-7051 não conseguem se conectar e recebem uma mensagem de exaustão de licença (License Exhaustion). Se o administrador do firewall fizer login no firewall e visualizar a página SSLVPN > Status, há indicações de usuários não autenticados aparecendo com uma mensagem de login pendente com 0 minutos de tempo de login.

Um exemplo de usuários não autenticados aparecendo na IU:

NOTA: Os usuários estão mostrando N/A para o Tempo de Inatividade e 0 minutos para o Tempo de Login.

Cause

Esse sintoma ocorre porque os usuários não-autenticados estão consumindo as licenças SSLVPN.

Este problema só é observado em firewalls GEN 7 operando atualmente com o firmware 7.1.1.

Resolution

O problema foi relatado ao suporte da Sonicwall e atualmente tem uma correção na forma de um firmware de hotfix baseado em 7.1.1-7051.

Crie um ticket da web para o problema e forneça as seguintes informações:

1. Uma captura de tela da interface grafica (mostrando o login pendente).

2. Cite o seguinte ID do problema: GEN7-47736 na descrição do caso ou na linha de assunto para que o suporte da Sonicwall possa fornecer o firmware do hotfix.

Workarounds:

1. Implemente o bloqueio de conta de usuário/IP navegando para Device -> Settings -> Administration -> Login/Multiple administrators.

-Local administrator account lockout – off significa bloquear o IP da tentativa em vez da conta
-Failed Login attempts – Defina de acordo com sua situação, 10/min ou mais
-Lock out period – O valor máximo é 60min (deve ser maior)

2. O Geo-IP pode ser implementado para permitir apenas países como Brasil, onde seus usuários legítimos estão localizados. Outros países podem ser bloqueados.

- Você pode fazer esta regra de firewall ativando o Geo-IP.

- Acesse WAN to WAN Source-> Any, Destination: WAN interface IP or WAN IP, Services: SSLVPN regra de serviços, edite a regra->Enable Geo-IP. Coloque uma seleção personalizada para permitir e bloquear país e salve-a.
- Isto aplicará Geo-IP apenas na regra SSLVPN e não em outras regras.
- Se você deseja ativar todas as regras, selecione "all connections" nas configurações Geo-IP em Security Services

Configuração Geo-IP abaixo:

Access rule em questão:

Editando a regra para ajuste das configurações do Geo-IP:

3. Habilitar login uniqueness em Device -> Users -> Settings (destacado em amarelo).

4. Você também pode utilizar o filtro Botnet para bloquear conexões desconhecidas.

- Isso requer trabalho manual onde você pode copiar os IPs de conexões/tentativas de autenticação SSLVPN desconhecidas e criar objetos na zona WAN.

- Em seguida, agrupe-os e crie uma lista personalizada de botnet.

5. Também como precaução adicional, se você não estiver usando o Virtual Office, navegue até Network -> SSL VPN -> Portal settings e habilite a opção "Disable Virtual office on Non-LAN interfaces"

6. Depois que a etapa acima for concluída, você poderá proteger ainda mais a autenticação SSLVPN alterando a porta SSLVPN para algo diferente do SSLVPN atual. A porta SSLVPN padrão é 4433. Junto com a porta, considere alterar User Domain name nas configurações do SSLVPN. Esta é apenas uma frase secreta para que você possa manter algo difícil.

NOTA: Os usuários devem ter a porta e o nome de domínio corretos para autenticação.

Not Finding Your Answers?

ASK THE COMMUNITY

Was This Article Helpful?

YES NO

Esgotamento da licença SSLVPN em firewalls Gen7

Description

Cause

Resolution

Related Articles

Categories

Not Finding Your Answers?

Was This Article Helpful?

Article Helpful Form

Article Not Helpful Form

Follow Us

Subscribe to newsletter

Stay In Touch