Как защитить Mikrotik от внешних переборов pptp, ipsec?

Question

[Георгий Измайлов]

Доброго времени суток, с недавних пор в логах микротика появляются записи о неудачных попытках аутенфикации по протоколам pptp, ipsec. Их не так много но, как то не нравиться все это, подскажите как грамотно сделать защиту с blacklist от таких переборов. Если можно то ссылку на мануал доступный и понятный для начинающих самоучек в mikrotik.
Или посоветуете вообще не обращать внимания на такие записи в логах?
Заранее при много благодарен.

Comments

[Lynn «Кофеман»]

А он точно должен торчать наружу на весь мир?

[Станислав Валсинатс]

Возможно ли заблокировать по стране ??

[20ivs]

тоже давно заметил попытки подключения с 216.218.206.122 и ближайшего диапазона. каждый день примерно в одно и то же время на всех Микротах в разных частях страны одна попытка подключения. Shadowserver

Answer 1

[CityCat4]

1. НЕ использовать PPTP
2. Не использовать PSK в IPSec, использовать только сертификаты, выпущенные в заданном CA - пусть хоть опухнут от перебора

Answer 2

[Vladimir Zhurkin]

Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
Настройка l2tp+ipsec не так сложна.

Но в любом из вариантов, можно блокировать многие вещи.
Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
вот пример для l2tp

https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

и есть разные варианты для pptp

spvd.ru/page/mikrotik-simple-bruteforce-prevention

Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.

Answer 3

[Дмитрий Шицков]

Можно реализовать функционал, аналогичный fail2ban:
https://www.ekzorchik.ru/2018/03/i-disassemble-the...

Comments

[if else]

Как всё меняется. Теперь Ваша ссылка ведет на платный контент.

Answer 4

[d-stream]

Если условия позволяют - как минимум для IPSec стоит задать явные пиры (адреса другой стороны).
С pptp такое навряд ли прокатит, можно попробовать хотя бы уйти в нестандартные порты (если позволяет клиентский софт), а так стоит уйти во что-нибудь другое "на сертификатах".

Answer 5

[Виктор]

Если никто ничего толкового не посоветует и адресов не много, я бы блокировал все запросы вручную c этих адресов, либо с диапазонов /24

Answer 6

[Александр Карабанов]

Например так https://www.youtube.com/watch?v=wGDTWaDL8jc

Answer 7

[beerchaser]

Для обеспечения безопасности впн можно предложить
1. Не использовать стандартные логины (и порты, но это слабо помогает)
2. Использовать сложные пароли
3. Ограничивать источники, с которых может быть инициировано подключение. Например, если вы не ожидаете никого из Китая, то заблокировать китайские адреса напрочь (политика черных списков-разрешено все, что не запрещено). Также возможно использовать уже рекомендованную здесь политику белых списков (запрещено все, что не разрешено).
4. Можно использовать port knocking MikroTik + port knocking