我在一家小公司配置了 PPTP VPN,目前运行良好。在 VPN 日志中,他们发现了几个来自未知用户的尝试连接日志,几分钟内每秒尝试一次连接。使用了标准名称,如 helpdesk、anyuser、interface 等。VPN 服务器和路由器防火墙已启用。只有少数用户拥有强密码并有权连接到 VPN。还定义了 IP 范围。还有其他可以采取的安全措施吗?谢谢!
答案1
正如@ChristopherPerrin 所说,这是互联网的背景噪音。脚本和机器人不断扫描互联网,相当于摇动门把手寻找未锁或锁得不好的门把手。但我不同意你对此无能为力。
使用这些日志在防火墙级别阻止它们。在 Linux 上,我使用 fail2ban 来执行此操作。Windows 可能有类似的解决方案,或者您可以编写自己的脚本来执行此操作。
这样做有几个原因:
即使您设置了强密码,只要有无数次猜测,他们就会进入。如果您不强制使用强密码,最终 John Smith 会将他的密码更改为“password”。阻止他们只会限制他们的猜测次数。
防火墙可以使用更少的系统资源来降低流量。当一个机器人扫描你时,这不是什么大问题。但如果其中 30 个决定同时攻击你的服务器,它可能会减慢所有合法用户的身份验证或 VPN 流量。通过在防火墙级别阻止它们,脚本通常会得到提示并快速转向下一个目标。
您可以同时阻止他们使用其他资源。在过去 5 分钟内 20 次无法登录 VPN?阻止他们使用整个网络,这样他们就无法继续扫描其他服务以查找漏洞。在过去 5 分钟内 20 次无法登录网站?阻止他们使用一切,包括 VPN。将允许的失败次数和禁令期限设置为尽可能宽松,以免经常影响真实用户。
它限制日志中的垃圾邮件数量,这样您就可以看到原本不会注意到的真正问题。
fail2ban 的工作方式是查看日志文件,当它发现 5 分钟内来自同一 IP 地址的 5 次登录尝试失败时,它会运行 iptables 命令来添加防火墙规则,阻止这些登录尝试 30 分钟。禁令到期后,它会删除该防火墙规则。这些数字和操作都是可配置的。
您可能还想设置一些永远不会阻止的地址,无论尝试失败多少次 - 例如您的本地 LAN 或您控制的服务器的一些公共地址,这样就不会有被锁定的风险。
答案2
未知用户尝试使用标准用户名进行连接是正常现象。您可以将其视为互联网噪音。
如果你有强密码,就无需担心。照原样处理,并保持软件更新。你几乎无能为力。