Подозрительные логи Mikrotik (L2TP + IPsec)?

Question

[MeredithMcGlynn]

Работаю с Mikrotik недавно, месяц назад на офисном маршрутизаторе настроил связку L2TP + IPsec, сейчас через L2TP-сервер подключаются и ведут работу три пользователя.
Этим утром обнаружил необычные логи, которых ранее не было. Предполагаю, что кто-то пытался через VPN "пробиться", сейчас активных удаленных подключений нет. Был бы благодарен, если бы Вы помогли мне ответить на следующие вопросы:
1) Что именно произошло? Кто-то с разных IP на протяжении нескольких часов пытался перебирать данные для установки удаленного соединения, или это было что-то иное?
2) Есть ли причины для беспокойства? Если верно понимаю, подключение ночью установлено не было, но не ясно, есть ли смысл менять что-либо в конфигурации маршрутизатора.
Скриншот последних логов прилагаю.

Comments

[AlexVWill]

Есть ли причины для беспокойства?

Судя по IP, какой то китайский ботнет возможно пытается зайти.
Если авторизация пользователе идет через ключ + сложный пароль, то причин для волнения нет...

[MeredithMcGlynn]

AlexVWill, Пока думал над логами, вспомнил, что у одного из L2TP-пользователей стоит пароль из десяти символов, включая специальные. Вручную его перебрать не выйдет, но различные онлайн-тестеры говорят, что ботами он ломается от минуты до трёх недель. Но ведь также требуется и логин.
В связи с этим возник вопрос: как считаете, при условии, что IPSec-ключ однажды будет скомпрометирован, существует ли шанс, что бот подберёт не просто пароль этого юзера, а связку логин-пароля?

[AlexVWill]

существует ли шанс, что бот подберёт не просто пароль этого юзера, а связку логин-пароля

Существует. Поскольку брутфорс так и работает, т.е. он подбирает логин и пароль, ибо одно без другого не имеем смысла.
Тут бы мог помочь fail2ban, не знаю, есть ли подобное решение для Mikrotik, подробно не интересовался, слышал лишь о том, что можно как то поднять в связке с Linux сервером.

[MeredithMcGlynn]

AlexVWill, Понял Вас, спасибо за информацию

Answer 1

[Юрий MikroTik]

Это попытки подключиться
Есть смысл ограничить подключение, принимать только из своей страны - GeoIP

Answer 2

[CityCat4]

Была попытка подключения, клиент не смог согласовать шифронаборы (failed to get valid proposal), потом они тупо поотваливались. Если работаете на сертификатах - не о чем беспокоиться.

Comments

[MeredithMcGlynn]

Подключение настраивается по общему ключу IPsec, состоящему из 12 символов. Когда производил настройку L2TP+IPsec, посудил, что если создать сложный общий ключ и такие же логины-пароли пользователей, этого должно быть достаточно для того, чтобы противостоять атакам извне.
Не подскажите, имеет ли описанный выше подход какие-либо ощутимые минусы по сравнению с использованием сертификатов?

[CityCat4]

MeredithMcGlynn, утечка общего ключа приводит к компроментации всей системы. Утечка сертификата приводит к компроментации одного пользователя. Когда пользователей трое - не так уж и актуально, когда их больше двух десятков - уже есть о чем задуматься...

[MeredithMcGlynn]

CityCat4, Понял Вас, спасибо за ответ

Answer 3

[Drno]

Подбирают пароль для подключения. Если это не Ваши адреса