Вопрос: Безопасность VPN: неизвестные пользователи, пытающиеся подключить PPTP VPN


Я настроил PPTP VPN в небольшой компании, которая пока работает хорошо. В журналах VPN они обнаружили несколько журналов попыток подключений от пользователей unkwoun, одно попытку подключения каждую секунду в течение нескольких минут. Стандартные имена использовались как справочная служба, anyuser, интерфейс и так далее. Доступны брандмауэры VPN-сервера и маршрутизатора. Есть только несколько пользователей с надежными паролями с проксимиями для подключения к VPN. Диапазон IP также определен. Существуют ли какие-либо другие меры безопасности, которые могут быть приняты? Благодаря!


4
2017-08-11 12:00


Источник


Возможно, вам захочется пересмотреть использование PPTP. Учитывая захват пакетов, нарушение шифрования довольно легко с chapcrack, - Scott Leadley


Ответы:


Как сказал @ Кристофер Перрин, это фоновый шум Интернета. Скрипты и боты постоянно просматривают Интернет, делая эквивалент дряблых дверных ручек, которые ищут те, которые разблокированы или плохо заблокированы. Однако я не согласен с тем, что вы ничего не можете с этим поделать.

Используйте эти журналы, чтобы заблокировать их на уровне брандмауэра. В linux я использую fail2ban для этого. Для окон могут быть похожие решения, или вы можете написать свой собственный скрипт для этого.

Для этого есть несколько причин:

  • Даже если у вас есть надежные пароли, учитывая бесконечное количество догадок, они войдут. Если вы не применяете сильные пароли, в конечном итоге Джон Смит изменит свой пароль на «пароль». Блокировка их дает им ограниченное количество догадок.

  • Брандмауэры могут отказаться от трафика, используя гораздо меньше системных ресурсов. Это не большая проблема, когда один бот сканирует вас. Но если 30 из них все решают сразу на вашем сервере, это может замедлить аутентификацию или трафик VPN в целом для всех законных пользователей. Блокируя их на уровне брандмауэра, скрипты обычно получают подсказку и быстро переходят к следующей цели.

  • Вы можете блокировать их из других ресурсов одновременно. Не удалось войти в VPN 20 раз за последние 5 минут? Блокируйте их со всей сети, чтобы они не могли отслеживать другие службы для уязвимостей. Не удается войти на сайт 20 раз за последние 5 минут? Заблокировано от всего, включая VPN. Сделайте допустимым количество отказов и длину запрета настолько слабы, насколько вам нужно, чтобы он не мог регулярно влиять на реальных пользователей.

  • Это ограничивает количество спама в ваших журналах, поэтому вы можете увидеть реальные проблемы, которые в противном случае вы не заметили бы.

Способ fail2ban работает, чтобы следить за файлами журнала, и когда он видит 5 неудачных попыток входа с одного и того же IP-адреса в течение 5 минут, он запускает команду iptables, чтобы добавить правило брандмауэра, блокирующее их в течение 30 минут. После истечения срока действия запрета удаляет это правило брандмауэра. Числа настраиваются, как и действия.

Вы также можете установить несколько адресов, которые он НИКОГДА не блокирует, независимо от того, сколько неудачных попыток есть - например, ваша локальная локальная сеть или некоторые общедоступные адреса серверов, которыми вы управляете, поэтому нет риска блокировки.


8
2017-08-11 12:48



Спасибо Грант за подробные предложения! Сервер использует Windows, но я попытаюсь реализовать некоторые из них. - user1421676


Это нормально, что неизвестные пользователи пытаются подключиться со стандартными именами пользователей. Вы можете рассматривать его как шум интернета.

Если у вас есть надежные пароли, вам не о чем беспокоиться. Возьмите это как есть и обновите свое программное обеспечение. Вы ничего не можете сделать.


3
2017-08-11 12:06



Кристофер, спасибо за ваше разъяснение! - user1421676