@PopDoG
Администрирование

Как защитить Mikrotik от внешних переборов pptp, ipsec?

Доброго времени суток, с недавних пор в логах микротика появляются записи о неудачных попытках аутенфикации по протоколам pptp, ipsec. Их не так много но, как то не нравиться все это, подскажите как грамотно сделать защиту с blacklist от таких переборов. Если можно то ссылку на мануал доступный и понятный для начинающих самоучек в mikrotik.
Или посоветуете вообще не обращать внимания на такие записи в логах?5ce255b91593c304485870.png
Заранее при много благодарен.
  • Вопрос задан
  • 1011 просмотров
Пригласить эксперта
Ответы на вопрос 7
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
1. НЕ использовать PPTP
2. Не использовать PSK в IPSec, использовать только сертификаты, выпущенные в заданном CA - пусть хоть опухнут от перебора
Ответ написан
Zarom
@Zarom
Мастер на все руки из жопы
Можно реализовать функционал, аналогичный fail2ban:
https://www.ekzorchik.ru/2018/03/i-disassemble-the...
Ответ написан
@necroic
Системный администратор
Если никто ничего толкового не посоветует и адресов не много, я бы блокировал все запросы вручную c этих адресов, либо с диапазонов /24
Ответ написан
@d-stream
Готовые решения - не подаю, но...
Если условия позволяют - как минимум для IPSec стоит задать явные пиры (адреса другой стороны).
С pptp такое навряд ли прокатит, можно попробовать хотя бы уйти в нестандартные порты (если позволяет клиентский софт), а так стоит уйти во что-нибудь другое "на сертификатах".
Ответ написан
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
Настройка l2tp+ipsec не так сложна.

Но в любом из вариантов, можно блокировать многие вещи.
Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
вот пример для l2tp

https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

и есть разные варианты для pptp

spvd.ru/page/mikrotik-simple-bruteforce-prevention

Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.
Ответ написан
@beerchaser
Для обеспечения безопасности впн можно предложить
1. Не использовать стандартные логины (и порты, но это слабо помогает)
2. Использовать сложные пароли
3. Ограничивать источники, с которых может быть инициировано подключение. Например, если вы не ожидаете никого из Китая, то заблокировать китайские адреса напрочь (политика черных списков-разрешено все, что не запрещено). Также возможно использовать уже рекомендованную здесь политику белых списков (запрещено все, что не разрешено).
4. Можно использовать port knocking MikroTik + port knocking
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы