Я настроил PPTP VPN в небольшой компании, которая пока работает хорошо. В журналах VPN они нашли несколько журналов попыток подключения от пользователей unkwoun, по одной попытке подключения каждую секунду в течение нескольких минут. Были использованы стандартные имена, такие как helpdesk, anyuser, interface и так далее. Брандмауэры VPN-сервера и маршрутизатора включены. Есть всего несколько пользователей с надежными паролями и полномочиями для подключения к VPN. Также определяется диапазон IP. Можно ли предпринять какие-либо другие меры безопасности? Спасибо!
Как сказал @ChristopherPerrin, это фоновый шум Интернета. Скрипты и боты постоянно сканируют Интернет, делая то же самое, что покачивают дверные ручки в поисках тех, которые не заперты или плохо заперты. Однако я не согласен с тем, что вы ничего не можете с этим поделать.
Используйте эти журналы, чтобы заблокировать их на уровне брандмауэра. В Linux для этого я использую fail2ban. Могут быть аналогичные решения для Windows, или вы можете написать свой собственный сценарий для этого.
Для этого есть несколько причин:
Даже если у вас есть надежные пароли, учитывая бесконечное количество предположений, они войдут. Если вы не установите надежные пароли, в конечном итоге Джон Смит сменит свой пароль на «пароль». Их блокировка дает им ограниченное количество предположений.
Межсетевые экраны могут отбрасывать трафик, используя гораздо меньше системных ресурсов. Когда вас сканирует один бот, это не проблема. Но если 30 из них решат заняться вашим сервером одновременно, это может замедлить аутентификацию или трафик VPN в целом для всех законных пользователей. Блокируя их на уровне брандмауэра, сценарии обычно получают подсказку и быстро переходят к следующей цели.
Вы можете заблокировать их на других ресурсах одновременно. Не удалось войти в VPN 20 раз за последние 5 минут? Заблокируйте их от всей сети, чтобы они не могли сканировать другие службы на предмет уязвимостей. Не удалось войти на сайт 20 раз за последние 5 минут? Заблокирован от всего, включая VPN. Сделайте количество разрешенных сбоев и длительность запрета настолько слабыми, насколько это необходимо, чтобы он не влиял на регулярных пользователей.
Он ограничивает количество спама в ваших журналах, поэтому вы можете видеть реальные проблемы, которые иначе не заметили бы.
Принцип работы fail2ban заключается в просмотре файлов журнала, и когда он видит 5 неудачных попыток входа с одного и того же IP-адреса в течение 5 минут, он запускает команду iptables, чтобы добавить правило брандмауэра, блокирующее их на 30 минут. По истечении срока бана он удаляет это правило брандмауэра. Числа можно настроить, как и действия.
Вы также можете установить несколько адресов, которые НИКОГДА не будут блокировать, независимо от количества неудачных попыток - например, ваша локальная сеть или некоторые общедоступные адреса серверов, которые вы контролируете, чтобы не было риска вашей блокировки.
Это нормально, что неизвестные пользователи пытаются подключиться со стандартными именами пользователей. Вы можете рассматривать это как шум интернета.
Если у вас надежные пароли, не о чем беспокоиться. Примите это как есть и обновляйте свое программное обеспечение. Вы ничего не можете сделать.