Беcпарольная авторизация VPN
 

Необходимо авторизовывать людей из интернетов и пускать их к различным сервисам внутри сети, типа почты, рабочего чатика и тд.

Реализовывал сие на белых домашних ип-адресах у клиентов, с парольной аутентификацией керио-впн, и правилом пускающим снаружи только эти адреса. Теперь хочется/нужно пускать все подряд ип-адреса. Стоит ли бояться постоянного бутфорса паролей и логинов из интернетов, даже если сменю штатный впн-порт? Еще не пробовал, начал пока гуглить и заодно спрошу тут. Лучше ли будет сделать беспарольную аутентификацию сертификатами/ключами, для всего этого и поддерживает ли современный керио контрол такое? Не особо хочется городить дополнительный впн-сервер для этого, хотелось бы обойтись только керио контролом.

Re: Беcпарольная авторизация VPN
 

а платила за эту пачку белых ip контора или клиенты? )
обычно так делают сразу.
или ограничивают подсетями конкретных провайдеров/мобильных операторов, если клиенты не разбросаны совсем уж сильно по провайдерам и сети белых ip провайдеров известны.
если пароли адекватные - не стоит.
учти, что брутить они будут керио vpn проприетарно перепиленный ipsec.
можно, но в случае с керио впн смысла не вижу.
на керио не пробовал, по-моему раньше это не поддерживалось
да и любой дятел на стороне пользователя, входящий без пароля к тебе на сервисы - не есть айс.

Re: Беcпарольная авторизация VPN
 

потенциальные открытые двери

Re: Беcпарольная авторизация VPN
 

Пользователи совершенно добровольно.
Нет ну причем тут без пароля, я имею ввиду то, что есть у ssh, когда генерируются rsa-ключи и загружаются на сервер и можно заходить не вводя логин с паролем. Или, как сейчас читаю, у openvpn есть сертификаты на стороне сервера и клиента. Их всегда можно менять, хоть каждую неделю.

Вобщем, как я понимаю, в обеих вариантах впн-сервера у керио (что ipsec, что керио впн) используется только логин/пароль, и администраторы постоянно наблюдают как логи пополняются неудачными попытками подбора паролей различными ботнетами китайских хакеров? Как вообще лучше всего побеждать подобную напасть? Замутить сложные пароли и игнорировать? Фильтровать множественные частые подключения и банить их, если актуальный керио это может? Ещё как-то?

Re: Беcпарольная авторизация VPN
 

имеются в виду действия пользователя на удаленном хосте - чтобы получить доступ ему не нужно вводить пароль.
способ же настройки такой дыры может быть различным =)

тут смысл такой:
сеть, которую защищает керио - доверенная, хосты там доверенные.
удаленный хост с впн-клиентом - не доверенный, хз кто к этому (заранее настроенному) хосту подошел чтобы в сеть за керио залезть.
и для доступа к защищенной сети этот "хз кто" либо хотя бы вводит пароль, либо его пускают просто так, без пароля. а уж на ключах там, сертификатах или еще чем вход злоумышленника без пароля будет настроен - дело исключительно ваше.

вот интересно, для кого я написал:
или у вас есть пользователи в сетях китайских провайдеров?.. =)
да
и логины интереснее чем "petya" и "vasya"
емнип не может
но в природе бывает всякий fail2ban и подобное, сам не настраивал за ненадобностью.

Re: Беcпарольная авторизация VPN
 

в керио есть возможность блочить страны и регионы
если я его конечно с МДемоном не путаю, но помоему не путаю
забанить Китай да и флаг ему в руки :)
вообще всех забанить кроме России, если иностранцы в ваш ВПН не ходят.

Re: Беcпарольная авторизация VPN
 

Кмк, сложные пароли совершенно не совместимы с желанием вводить их при каждом входе и в 100% такой, да и любой, пароль будет просто сохранён соответствующей галочкой в менеджере подключений на клиентской стороне, перестав отличаться от какого-либо токена.


Ну вообщем с этим понятно, попробую пока так, а далее может быть что-нибудь более специализированное поставлю на виртуалочку в дмз. Сейчас действительно важнее разграничить права одних и тех же юзеров, с доступом изнутри и снаружи, дабы условный любимый сынуля сотрудника не похерил что-то, заставив меня лезть в бекап)) Надо прикинуть как ловчее это провернуть.