我已经在一家小公司配置了一个 PPTP VPN,到目前为止运行良好。在 VPN 日志中,他们发现了一些来自 unkwoun 用户的尝试连接日志,在几分钟内每秒尝试连接一个。使用标准名称,如帮助台、任何用户、界面等。VPN 服务器和路由器防火墙已启用。只有少数用户拥有强密码并具有连接到 VPN 的权限。还定义了 IP 范围。是否可以采取其他安全措施?谢谢!
正如@ChristopherPerrin 所说,这是互联网的背景噪音。脚本和机器人不断地扫描互联网,就像摇晃门把手寻找未上锁或锁得不好的门把手一样。但是,我不同意您对此无能为力。
使用这些日志在防火墙级别阻止它们。在 linux 上,我使用 fail2ban 来做到这一点。Windows 可能有类似的解决方案,或者您可以编写自己的脚本来执行此操作。
这样做有几个原因:
即使您有强密码,假设有无数次猜测,它们也会进入。如果您不强制使用强密码,最终 John Smith 会将他的密码更改为“password”。阻止他们给他们有限的猜测次数。
防火墙可以使用更少的系统资源丢弃流量。当一个机器人扫描你时,这没什么大不了的。但是,如果其中 30 个都决定一次在您的服务器上进行磨练,则通常会减慢所有合法用户的身份验证或 VPN 流量。通过在防火墙级别阻止它们,脚本通常会得到提示并快速移动到下一个目标。
您可以同时从其他资源中阻止它们。在过去 5 分钟内登录 VPN 20 次失败?阻止他们进入整个网络,这样他们就无法继续扫描其他服务的漏洞。在过去 5 分钟内无法登录网站 20 次?阻止所有内容,包括 VPN。使允许的失败次数和禁令的长度尽可能宽松,以免定期影响真实用户。
它限制了您日志中的垃圾邮件数量,因此您可以看到原本不会注意到的实际问题。
fail2ban 的工作方式是查看日志文件,当它在 5 分钟内看到来自同一 IP 地址的 5 次登录尝试失败时,它会运行 iptables 命令以添加防火墙规则阻止它们 30 分钟。禁令到期后,它会删除该防火墙规则。数字是可配置的,操作也是如此。
您可能还想设置一些地址,无论有多少次尝试失败,它都永远不会阻止 - 例如您的本地 LAN,或您控制的某些服务器的公共地址,因此您没有被锁定的风险。