Страница 1 из 2
Безопасность в работе с VPN
Добавлено: 01 апр 2020, 08:46
denis.korsachv
Здравствуйте, возник вопрос к знающим и опытным людям в области настроек безопасности локальной сети из вне. Есть настроенный VPN сервер PPTP c шифрованием к которому подключаются клиенты на ОС Windows. В логах микротика начал замечать нездоровый интерес к моей сети (подробнее на скриншоте в атаче). Чтобы хоть как то обезопасить себя были настроены bruteforce правила по порту 1723. Но это как то не сильно спасает потому как атаки идут с разного IP адреса. Как можно ещё защититься от атак чтобы дополнительно себя обезопасить?
Re: Безопасность в работе с VPN
Добавлено: 01 апр 2020, 11:16
KaNelam
1. Добавлять вручную, составлять, адрес лист и дропать в raw на preroutong.
2. Белый список клиентов. (не всегда реализуемо, но возможно)
3. Организовать ловушку по неуданым входам. (есть вероятность заблокировать нужного клиента)
Re: Безопасность в работе с VPN
Добавлено: 01 апр 2020, 11:17
easyman
Как минимум закройте доступ из других стран. погуглите решение по словам ipdeny mikrotik.
Re: Безопасность в работе с VPN
Добавлено: 01 апр 2020, 11:49
podarok66
Я бы всё же поискал более новый протокол туннелирования. Понимаю, что совет кажется не своевременным, но... Тот же sstp с сертификатами будет более контролируем, получить валидный сертификат - это не брутфорсом заниматься.
Re: Безопасность в работе с VPN
Добавлено: 01 апр 2020, 15:01
imaoskol
PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.
Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.
1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
Re: Безопасность в работе с VPN
Добавлено: 01 апр 2020, 15:11
denis.korsachv
imaoskol писал(а): ↑01 апр 2020, 15:01
PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.
Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.
1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
Был ранее настроен l2tp + ipsec оказалась для моей железке скорость сильно низкая. RB2011UiAS-2HnD
Re: Безопасность в работе с VPN
Добавлено: 01 апр 2020, 15:21
KaNelam
Я бы добавил еще SSTP. И сертификаты на самом микротике можно создать.
Re: Безопасность в работе с VPN
Добавлено: 01 апр 2020, 16:49
imaoskol
denis.korsachv писал(а): ↑01 апр 2020, 15:11
imaoskol писал(а): ↑01 апр 2020, 15:01
PPTP для VPN это уже небезопасно.
Шифрование в PPTP туннеле используется mppe. MPPE давно взломан, имеет известные уязвимости. Плюс тунель работает на tcp порту который к тому же нельзя поменять.
Я бы рекомендовал 2 наиболее хороших варианта с точки зрения безопасности и скорости работы:
1)l2tp + ipsec с предварительным ключем
2)opvpn с сертификатами.
1) вариант более прост в настройке и довольно быстро работает ( всё зависит от процессора и выбора шифрования aes 128 256 и т.п.)
2) вариант более надежный и тоже быстрый, но более геморный в настройке.
Был ранее настроен l2tp + ipsec оказалась для моей железке скорость сильно низкая. RB2011UiAS-2HnD
2011 слабоват, да. За его цену щас можно уже взять с двумя процами.
Если был l2tp с ipsec и не вывозит, что что тут посоветуешь....
Не бывает такого чтобы и безопасность была и скорость и простота настройки и цена 2 копейки...
Поэтому Вы и выбрали PPTP. В угоду цене прогнулись в безопасности. По другому никак... Или брать hex какой нить и поднимать с ipsec
PPTP с mppe оставьте и не парьтесь. Шифрование есть? -есть. Пароли посложнее и не парьтесь, если у Вас не банк или гос предприятие
Re: Безопасность в работе с VPN
Добавлено: 03 апр 2020, 11:06
denis.korsachv
Да вот так и работаю, вот ещё какае-та ерунда начала беспокоить. Подключаются клиенты с ОС Windows к VPN вроде всё нормально подключение происходит. Клиентов около 5 загрузка процессора при этом прыгает от 3% до 80%. Вот постоянно обрывается связь с одним и тем же клиентом, может быть и сдругим но реже. А тут только подключиться начинает работать и 3-4мин pptp-in2: terminating... - peer is not responding. Не пойму почему так происходит, люди работают по RDP по сети файлы никакие не качают и не закачивают. Где можно покапаться?
Re: Безопасность в работе с VPN
Добавлено: 05 апр 2020, 16:54
imaoskol
denis.korsachv писал(а): ↑03 апр 2020, 11:06
Да вот так и работаю, вот ещё какае-та ерунда начала беспокоить. Подключаются клиенты с ОС Windows к VPN вроде всё нормально подключение происходит. Клиентов около 5 загрузка процессора при этом прыгает от 3% до 80%. Вот постоянно обрывается связь с одним и тем же клиентом, может быть и сдругим но реже. А тут только подключиться начинает работать и 3-4мин pptp-in2: terminating... - peer is not responding. Не пойму почему так происходит, люди работают по RDP по сети файлы никакие не качают и не закачивают. Где можно покапаться?
Где можно покопаться? В настройках)))
5 пользователей pptp это ерунда, не должно лагать.
Я же не знаю как Вы настраивали, по какому мануалу. Кривизны в мануалах инета навалом.