2021年11月11日 星期四

Fortigate 有連線到208.91.112.55的阻擋紀錄

 最近檢查Fortigate的IPS log,發現到有主機連線到208.91.112.55的阻擋紀錄。


查詢208.91.112.55,發現是屬於Fortinet的。


實際瀏覽器連,結果跳出Fortigate的Block頁面(非Fortigate設備上的,而是Fortinet架設在Internet上)。

Goolge得知,原來這個是Fortigate DNS filter 的功能,有問題的就Redirect Portal。

回來檢查DNS filter的Log,的確有看到redirect的紀錄。

其實在DNS filter的設定就可以看到208.91.112.55這個IP了。


最後總結,當用戶端想被植入可疑檔案後,想要連線到特定域名,需要問詢問DNS取得IP。
這個時候,如果有啟用DNS filter就會被Fortigate redirect到208.91.112.55。
可疑檔案取得解析後IP,就會連線到208.91.112.55,而這個連線行為,就被Fortigate的IPS偵測到有問題,最後被阻擋。
才會有連線到Fortinet的IP,結果被自己家的IPS阻擋的狀況.....。

為什麼DNS filter不是阻擋而是用redirect的做法改天來問問廠商......