VPN Security: usuários desconhecidos tentando se conectar à VPN PPTP

4

Configurei uma VPN PPTP em uma pequena empresa que até agora está funcionando bem. Nos logs da VPN, eles encontraram vários logs de tentativas de conexão de usuários unkwoun, uma tentativa de conexão a cada segundo durante alguns minutos. Nomes padrão foram usados como helpdesk, anyuser, interface e assim por diante. O servidor VPN e os firewalls do roteador estão habilitados. Existem apenas alguns usuários com senhas strongs com provilégios para se conectarem à VPN. O intervalo de IP também é definido. Existe alguma outra medida de segurança que possa ser tomada? Obrigado!

    
por user1421676 11.08.2014 / 14:00

2 respostas

8

Como @ChristopherPerrin disse, é o ruído de fundo da internet. Scripts e bots estão constantemente escaneando a internet, fazendo o equivalente a mexer nas maçanetas das portas, procurando por aquelas que estão destrancadas ou mal trancadas. No entanto, discordo que não há nada que você possa fazer sobre isso.

Use esses logs para bloqueá-los no nível do firewall. No linux eu uso fail2ban fazer isso. Pode haver soluções semelhantes para o Windows ou você pode escrever seu próprio script para fazê-lo.

Existem algumas razões para isso:

  • Mesmo se você tiver senhas strongs, dado um número infinito de palpites, elas entrarão. Se você não aplicar senhas strongs, eventualmente John Smith mudará sua senha para "senha". Bloqueá-los dá-lhes um número limitado de palpites.

  • Os firewalls podem eliminar o tráfego usando muito menos recursos do sistema. Não é grande coisa quando um bot está examinando você. Mas se 30 deles decidirem acessar seu servidor de uma só vez, isso poderá atrasar a autenticação ou o tráfego de VPN em geral para todos os usuários legítimos. Ao bloqueá-los no nível do firewall, os scripts geralmente recebem a dica e avançam para o próximo destino rapidamente.

  • Você pode bloqueá-los de outros recursos ao mesmo tempo. Falha ao acessar a VPN 20 vezes nos últimos 5 minutos? Bloqueie-os de toda a rede para que eles não consigam rastrear outros serviços em busca de vulnerabilidades. Falha ao acessar o site 20 vezes nos últimos 5 minutos? Bloqueado de tudo, incluindo a VPN. Faça com que o número de falhas permitidas e a duração da proibição sejam tão frouxas quanto necessárias para que ela não afete regularmente usuários reais.

  • Limita a quantidade de spam nos seus registros, para que você possa ver problemas reais que, de outra forma, você não notaria.

A maneira como o fail2ban funciona é observar os arquivos de log e, quando vê 5 tentativas de login malsucedidas do mesmo endereço IP em 5 minutos, ele executa um comando iptables para adicionar uma regra de firewall que os bloqueia por 30 minutos. Após o banimento, ele remove essa regra de firewall. Os números são configuráveis, assim como as ações.

Você também pode definir alguns endereços que NUNCA bloqueará, não importa quantas tentativas falhas existam, como sua LAN local ou alguns endereços públicos dos servidores que você controla, portanto não há risco de você ser bloqueado .

    
por 11.08.2014 / 14:48
3

É normal que usuários desconhecidos tentem se conectar com nomes de usuários padrão. Você pode ver isso como o barulho da internet.

Se você tiver senhas strongs, não precisa se preocupar. Tome como está e mantenha seu software atualizado. Não há nada que você possa fazer.

    
por 11.08.2014 / 14:06

Tags