Здравствуйте, возник вопрос к знающим и опытным людям в области настроек безопасности локальной сети из вне. Есть настроенный VPN сервер PPTP c шифрованием к которому подключаются клиенты на ОС Windows. В логах микротика начал замечать нездоровый интерес к моей сети (подробнее на скриншоте в атаче). Чтобы хоть как то обезопасить себя были настроены bruteforce правила по порту 1723. Но это как то не сильно спасает потому как атаки идут с разного IP адреса. Как можно ещё защититься от атак чтобы дополнительно себя обезопасить?
Безопасность в работе с VPN
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
1. Добавлять вручную, составлять, адрес лист и дропать в raw на preroutong.
2. Белый список клиентов. (не всегда реализуемо, но возможно)
3. Организовать ловушку по неуданым входам. (есть вероятность заблокировать нужного клиента)
2. Белый список клиентов. (не всегда реализуемо, но возможно)
3. Организовать ловушку по неуданым входам. (есть вероятность заблокировать нужного клиента)
-
- Сообщения: 108
- Зарегистрирован: 19 окт 2018, 13:44
Как минимум закройте доступ из других стран. погуглите решение по словам ipdeny mikrotik.
- podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я бы всё же поискал более новый протокол туннелирования. Понимаю, что совет кажется не своевременным, но... Тот же sstp с сертификатами будет более контролируем, получить валидный сертификат - это не брутфорсом заниматься.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.
Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.
1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.
Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.
1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
-
- Сообщения: 31
- Зарегистрирован: 13 ноя 2019, 15:56
Был ранее настроен l2tp + ipsec оказалась для моей железке скорость сильно низкая. RB2011UiAS-2HnDimaoskol писал(а): ↑01 апр 2020, 15:01 PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.
Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.
1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Я бы добавил еще SSTP. И сертификаты на самом микротике можно создать.
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
2011 слабоват, да. За его цену щас можно уже взять с двумя процами.denis.korsachv писал(а): ↑01 апр 2020, 15:11Был ранее настроен l2tp + ipsec оказалась для моей железке скорость сильно низкая. RB2011UiAS-2HnDimaoskol писал(а): ↑01 апр 2020, 15:01 PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.
Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.
1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
Если был l2tp с ipsec и не вывозит, что что тут посоветуешь....
Не бывает такого чтобы и безопасность была и скорость и простота настройки и цена 2 копейки...
Поэтому Вы и выбрали PPTP. В угоду цене прогнулись в безопасности. По другому никак... Или брать hex какой нить и поднимать с ipsec
PPTP с mppe оставьте и не парьтесь. Шифрование есть? -есть. Пароли посложнее и не парьтесь, если у Вас не банк или гос предприятие
-
- Сообщения: 31
- Зарегистрирован: 13 ноя 2019, 15:56
Да вот так и работаю, вот ещё какае-та ерунда начала беспокоить. Подключаются клиенты с ОС Windows к VPN вроде всё нормально подключение происходит. Клиентов около 5 загрузка процессора при этом прыгает от 3% до 80%. Вот постоянно обрывается связь с одним и тем же клиентом, может быть и сдругим но реже. А тут только подключиться начинает работать и 3-4мин pptp-in2: terminating... - peer is not responding. Не пойму почему так происходит, люди работают по RDP по сети файлы никакие не качают и не закачивают. Где можно покапаться?
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Где можно покопаться? В настройках)))denis.korsachv писал(а): ↑03 апр 2020, 11:06 Да вот так и работаю, вот ещё какае-та ерунда начала беспокоить. Подключаются клиенты с ОС Windows к VPN вроде всё нормально подключение происходит. Клиентов около 5 загрузка процессора при этом прыгает от 3% до 80%. Вот постоянно обрывается связь с одним и тем же клиентом, может быть и сдругим но реже. А тут только подключиться начинает работать и 3-4мин pptp-in2: terminating... - peer is not responding. Не пойму почему так происходит, люди работают по RDP по сети файлы никакие не качают и не закачивают. Где можно покапаться?
5 пользователей pptp это ерунда, не должно лагать.
Я же не знаю как Вы настраивали, по какому мануалу. Кривизны в мануалах инета навалом.