Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 28.05.2020, 15:25   #1
Немо
 
Аватар для Немо
 
Регистрация: 07.03.2017
Сообщений: 3
По умолчанию Беcпарольная авторизация VPN

Необходимо авторизовывать людей из интернетов и пускать их к различным сервисам внутри сети, типа почты, рабочего чатика и тд.

Реализовывал сие на белых домашних ип-адресах у клиентов, с парольной аутентификацией керио-впн, и правилом пускающим снаружи только эти адреса. Теперь хочется/нужно пускать все подряд ип-адреса. Стоит ли бояться постоянного бутфорса паролей и логинов из интернетов, даже если сменю штатный впн-порт? Еще не пробовал, начал пока гуглить и заодно спрошу тут. Лучше ли будет сделать беспарольную аутентификацию сертификатами/ключами, для всего этого и поддерживает ли современный керио контрол такое? Не особо хочется городить дополнительный впн-сервер для этого, хотелось бы обойтись только керио контролом.
Немо вне форума   Ответить с цитированием Вверх
Старый 28.05.2020, 16:26   #2
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Беcпарольная авторизация VPN

Цитата
Сообщение от Немо Посмотреть сообщение
Реализовывал сие на белых домашних ип-адресах у клиентов
а платила за эту пачку белых ip контора или клиенты? )
Цитата
Сообщение от Немо Посмотреть сообщение
Теперь хочется/нужно пускать все подряд ип-адреса.
обычно так делают сразу.
или ограничивают подсетями конкретных провайдеров/мобильных операторов, если клиенты не разбросаны совсем уж сильно по провайдерам и сети белых ip провайдеров известны.
Цитата
Сообщение от Немо Посмотреть сообщение
Стоит ли бояться постоянного бутфорса паролей и логинов из интернетов
если пароли адекватные - не стоит.
учти, что брутить они будут керио vpn проприетарно перепиленный ipsec.
Цитата
Сообщение от Немо Посмотреть сообщение
даже если сменю штатный впн-порт
можно, но в случае с керио впн смысла не вижу.
Цитата
Сообщение от Немо Посмотреть сообщение
Лучше ли будет сделать беспарольную аутентификацию сертификатами/ключами
на керио не пробовал, по-моему раньше это не поддерживалось
да и любой дятел на стороне пользователя, входящий без пароля к тебе на сервисы - не есть айс.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 28.05.2020, 19:23   #3
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,550
По умолчанию Re: Беcпарольная авторизация VPN

Цитата:
Сообщение от exchar Посмотреть сообщение
да и любой дятел на стороне пользователя, входящий без пароля к тебе на сервисы - не есть айс.
потенциальные открытые двери
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 29.05.2020, 00:48   #4
Немо
 
Аватар для Немо
 
Регистрация: 07.03.2017
Сообщений: 3
По умолчанию Re: Беcпарольная авторизация VPN

Цитата:
Сообщение от exchar Посмотреть сообщение
а платила за эту пачку белых ip контора или клиенты? )
Пользователи совершенно добровольно.
Цитата:
Сообщение от exchar Посмотреть сообщение
на керио не пробовал, по-моему раньше это не поддерживалось
да и любой дятел на стороне пользователя, входящий без пароля к тебе на сервисы - не есть айс.
Нет ну причем тут без пароля, я имею ввиду то, что есть у ssh, когда генерируются rsa-ключи и загружаются на сервер и можно заходить не вводя логин с паролем. Или, как сейчас читаю, у openvpn есть сертификаты на стороне сервера и клиента. Их всегда можно менять, хоть каждую неделю.

Вобщем, как я понимаю, в обеих вариантах впн-сервера у керио (что ipsec, что керио впн) используется только логин/пароль, и администраторы постоянно наблюдают как логи пополняются неудачными попытками подбора паролей различными ботнетами китайских хакеров? Как вообще лучше всего побеждать подобную напасть? Замутить сложные пароли и игнорировать? Фильтровать множественные частые подключения и банить их, если актуальный керио это может? Ещё как-то?
Немо вне форума   Ответить с цитированием Вверх
Старый 29.05.2020, 01:11   #5
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Беcпарольная авторизация VPN

Цитата
Сообщение от Немо Посмотреть сообщение
Нет ну причем тут без пароля, я имею ввиду то, что есть у ssh, когда генерируются rsa-ключи и загружаются на сервер и можно заходить не вводя логин с паролем.
имеются в виду действия пользователя на удаленном хосте - чтобы получить доступ ему не нужно вводить пароль.
способ же настройки такой дыры может быть различным =)

тут смысл такой:
сеть, которую защищает керио - доверенная, хосты там доверенные.
удаленный хост с впн-клиентом - не доверенный, хз кто к этому (заранее настроенному) хосту подошел чтобы в сеть за керио залезть.
и для доступа к защищенной сети этот "хз кто" либо хотя бы вводит пароль, либо его пускают просто так, без пароля. а уж на ключах там, сертификатах или еще чем вход злоумышленника без пароля будет настроен - дело исключительно ваше.

Цитата
Сообщение от Немо Посмотреть сообщение
Вобщем, как я понимаю, в обеих вариантах впн-сервера у керио (что ipsec, что керио впн) используется только логин/пароль, и администраторы постоянно наблюдают как логи пополняются неудачными попытками подбора паролей различными ботнетами китайских хакеров? Как вообще лучше всего побеждать подобную напасть?
вот интересно, для кого я написал:
Цитата:
Сообщение от exchar Посмотреть сообщение
или ограничивают подсетями конкретных провайдеров/мобильных операторов, если клиенты не разбросаны совсем уж сильно по провайдерам и сети белых ip провайдеров известны.
или у вас есть пользователи в сетях китайских провайдеров?.. =)
Цитата
Сообщение от Немо Посмотреть сообщение
Замутить сложные пароли и игнорировать?
да
и логины интереснее чем "petya" и "vasya"
Цитата
Сообщение от Немо Посмотреть сообщение
Фильтровать множественные частые подключения и банить их, если актуальный керио это может?
емнип не может
но в природе бывает всякий fail2ban и подобное, сам не настраивал за ненадобностью.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 29.05.2020, 12:22   #6
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,550
По умолчанию Re: Беcпарольная авторизация VPN

Цитата
Сообщение от Немо Посмотреть сообщение
Фильтровать множественные частые подключения и банить их, если актуальный керио это может? Ещё как-то?
в керио есть возможность блочить страны и регионы
если я его конечно с МДемоном не путаю, но помоему не путаю
забанить Китай да и флаг ему в руки
вообще всех забанить кроме России, если иностранцы в ваш ВПН не ходят.
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 29.05.2020, 13:43   #7
Немо
 
Аватар для Немо
 
Регистрация: 07.03.2017
Сообщений: 3
По умолчанию Re: Беcпарольная авторизация VPN

Цитата:
Сообщение от exchar Посмотреть сообщение
имеются в виду действия пользователя на удаленном хосте - чтобы получить доступ ему не нужно вводить пароль.
способ же настройки такой дыры может быть различным =)
Кмк, сложные пароли совершенно не совместимы с желанием вводить их при каждом входе и в 100% такой, да и любой, пароль будет просто сохранён соответствующей галочкой в менеджере подключений на клиентской стороне, перестав отличаться от какого-либо токена.


Ну вообщем с этим понятно, попробую пока так, а далее может быть что-нибудь более специализированное поставлю на виртуалочку в дмз. Сейчас действительно важнее разграничить права одних и тех же юзеров, с доступом изнутри и снаружи, дабы условный любимый сынуля сотрудника не похерил что-то, заставив меня лезть в бекап)) Надо прикинуть как ловчее это провернуть.
Немо вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 06:45. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях