Безопасность в работе с VPN

denis.korsachv · 01 апр 2020, 08:46

Здравствуйте, возник вопрос к знающим и опытным людям в области настроек безопасности локальной сети из вне. Есть настроенный VPN сервер PPTP c шифрованием к которому подключаются клиенты на ОС Windows. В логах микротика начал замечать нездоровый интерес к моей сети (подробнее на скриншоте в атаче). Чтобы хоть как то обезопасить себя были настроены bruteforce правила по порту 1723. Но это как то не сильно спасает потому как атаки идут с разного IP адреса. Как можно ещё защититься от атак чтобы дополнительно себя обезопасить?

KaNelam · 01 апр 2020, 11:16

1. Добавлять вручную, составлять, адрес лист и дропать в raw на preroutong.
2. Белый список клиентов. (не всегда реализуемо, но возможно)
3. Организовать ловушку по неуданым входам. (есть вероятность заблокировать нужного клиента)

easyman · 01 апр 2020, 11:17

Как минимум закройте доступ из других стран. погуглите решение по словам ipdeny mikrotik.

01 апр 2020, 11:49

Я бы всё же поискал более новый протокол туннелирования. Понимаю, что совет кажется не своевременным, но... Тот же sstp с сертификатами будет более контролируем, получить валидный сертификат - это не брутфорсом заниматься.

imaoskol · 01 апр 2020, 15:01

PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.

Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.

1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.

denis.korsachv · 01 апр 2020, 15:11

imaoskol писал(а): ↑01 апр 2020, 15:01 PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.

Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.

1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.

Был ранее настроен l2tp + ipsec оказалась для моей железке скорость сильно низкая. RB2011UiAS-2HnD

KaNelam · 01 апр 2020, 15:21

Я бы добавил еще SSTP. И сертификаты на самом микротике можно создать.

imaoskol · 01 апр 2020, 16:49

denis.korsachv писал(а): ↑01 апр 2020, 15:11
imaoskol писал(а): ↑01 апр 2020, 15:01 PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.

Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.

1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
Был ранее настроен l2tp + ipsec оказалась для моей железке скорость сильно низкая. RB2011UiAS-2HnD

2011 слабоват, да. За его цену щас можно уже взять с двумя процами.

Если был l2tp с ipsec и не вывозит, что что тут посоветуешь....
Не бывает такого чтобы и безопасность была и скорость и простота настройки и цена 2 копейки...
Поэтому Вы и выбрали PPTP. В угоду цене прогнулись в безопасности. По другому никак... Или брать hex какой нить и поднимать с ipsec
PPTP с mppe оставьте и не парьтесь. Шифрование есть? -есть. Пароли посложнее и не парьтесь, если у Вас не банк или гос предприятие

denis.korsachv · 03 апр 2020, 11:06

Да вот так и работаю, вот ещё какае-та ерунда начала беспокоить. Подключаются клиенты с ОС Windows к VPN вроде всё нормально подключение происходит. Клиентов около 5 загрузка процессора при этом прыгает от 3% до 80%. Вот постоянно обрывается связь с одним и тем же клиентом, может быть и сдругим но реже. А тут только подключиться начинает работать и 3-4мин pptp-in2: terminating... - peer is not responding. Не пойму почему так происходит, люди работают по RDP по сети файлы никакие не качают и не закачивают. Где можно покапаться?

imaoskol · 05 апр 2020, 16:54

denis.korsachv писал(а): ↑03 апр 2020, 11:06 Да вот так и работаю, вот ещё какае-та ерунда начала беспокоить. Подключаются клиенты с ОС Windows к VPN вроде всё нормально подключение происходит. Клиентов около 5 загрузка процессора при этом прыгает от 3% до 80%. Вот постоянно обрывается связь с одним и тем же клиентом, может быть и сдругим но реже. А тут только подключиться начинает работать и 3-4мин pptp-in2: terminating... - peer is not responding. Не пойму почему так происходит, люди работают по RDP по сети файлы никакие не качают и не закачивают. Где можно покапаться?

Где можно покопаться? В настройках)))
5 пользователей pptp это ерунда, не должно лагать.
Я же не знаю как Вы настраивали, по какому мануалу. Кривизны в мануалах инета навалом.

Безопасность в работе с VPN

Вход • Регистрация