Задать вопрос
@PopDoG
Администрирование

Как защитить Mikrotik от внешних переборов pptp, ipsec?

Доброго времени суток, с недавних пор в логах микротика появляются записи о неудачных попытках аутенфикации по протоколам pptp, ipsec. Их не так много но, как то не нравиться все это, подскажите как грамотно сделать защиту с blacklist от таких переборов. Если можно то ссылку на мануал доступный и понятный для начинающих самоучек в mikrotik.
Или посоветуете вообще не обращать внимания на такие записи в логах?5ce255b91593c304485870.png
Заранее при много благодарен.
  • Вопрос задан
  • 18058 просмотров
Подписаться 3 Средний 3 комментария
Пригласить эксперта
Ответы на вопрос 7
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
//COPY01 EXEC PGM=IEBGENER
1. НЕ использовать PPTP
2. Не использовать PSK в IPSec, использовать только сертификаты, выпущенные в заданном CA - пусть хоть опухнут от перебора
Ответ написан
Комментировать
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
Настройка l2tp+ipsec не так сложна.

Но в любом из вариантов, можно блокировать многие вещи.
Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
вот пример для l2tp

https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

и есть разные варианты для pptp

spvd.ru/page/mikrotik-simple-bruteforce-prevention

Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.
Ответ написан
Комментировать
Можно реализовать функционал, аналогичный fail2ban:
https://www.ekzorchik.ru/2018/03/i-disassemble-the...
Ответ написан
@d-stream
Готовые решения - не подаю, но...
Если условия позволяют - как минимум для IPSec стоит задать явные пиры (адреса другой стороны).
С pptp такое навряд ли прокатит, можно попробовать хотя бы уйти в нестандартные порты (если позволяет клиентский софт), а так стоит уйти во что-нибудь другое "на сертификатах".
Ответ написан
Комментировать
@necroic
Системный администратор
Если никто ничего толкового не посоветует и адресов не много, я бы блокировал все запросы вручную c этих адресов, либо с диапазонов /24
Ответ написан
Комментировать
karabanov
@karabanov
Системный администратор
Ответ написан
Комментировать
@beerchaser
Для обеспечения безопасности впн можно предложить
1. Не использовать стандартные логины (и порты, но это слабо помогает)
2. Использовать сложные пароли
3. Ограничивать источники, с которых может быть инициировано подключение. Например, если вы не ожидаете никого из Китая, то заблокировать китайские адреса напрочь (политика черных списков-разрешено все, что не запрещено). Также возможно использовать уже рекомендованную здесь политику белых списков (запрещено все, что не разрешено).
4. Можно использовать port knocking MikroTik + port knocking
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы