Беcпарольная авторизация VPN

[Немо]

Необходимо авторизовывать людей из интернетов и пускать их к различным сервисам внутри сети, типа почты, рабочего чатика и тд.

Реализовывал сие на белых домашних ип-адресах у клиентов, с парольной аутентификацией керио-впн, и правилом пускающим снаружи только эти адреса. Теперь хочется/нужно пускать все подряд ип-адреса. Стоит ли бояться постоянного бутфорса паролей и логинов из интернетов, даже если сменю штатный впн-порт? Еще не пробовал, начал пока гуглить и заодно спрошу тут. Лучше ли будет сделать беспарольную аутентификацию сертификатами/ключами, для всего этого и поддерживает ли современный керио контрол такое? Не особо хочется городить дополнительный впн-сервер для этого, хотелось бы обойтись только керио контролом.

[exchar]

Цитата

Сообщение от Немо

Реализовывал сие на белых домашних ип-адресах у клиентов

а платила за эту пачку белых ip контора или клиенты? )

Цитата

Сообщение от Немо

Теперь хочется/нужно пускать все подряд ип-адреса.

обычно так делают сразу.
или ограничивают подсетями конкретных провайдеров/мобильных операторов, если клиенты не разбросаны совсем уж сильно по провайдерам и сети белых ip провайдеров известны.

Цитата

Сообщение от Немо

Стоит ли бояться постоянного бутфорса паролей и логинов из интернетов

если пароли адекватные - не стоит.
учти, что брутить они будут керио vpn проприетарно перепиленный ipsec.

Цитата

Сообщение от Немо

даже если сменю штатный впн-порт

можно, но в случае с керио впн смысла не вижу.

Цитата

Сообщение от Немо

Лучше ли будет сделать беспарольную аутентификацию сертификатами/ключами

на керио не пробовал, по-моему раньше это не поддерживалось
да и любой дятел на стороне пользователя, входящий без пароля к тебе на сервисы - не есть айс.

[naliman]

Цитата:

Сообщение от exchar

да и любой дятел на стороне пользователя, входящий без пароля к тебе на сервисы - не есть айс.

потенциальные открытые двери

[Немо]

Цитата:

Сообщение от exchar

а платила за эту пачку белых ip контора или клиенты? )

Пользователи совершенно добровольно.

Цитата:

Сообщение от exchar

на керио не пробовал, по-моему раньше это не поддерживалось
да и любой дятел на стороне пользователя, входящий без пароля к тебе на сервисы - не есть айс.

Нет ну причем тут без пароля, я имею ввиду то, что есть у ssh, когда генерируются rsa-ключи и загружаются на сервер и можно заходить не вводя логин с паролем. Или, как сейчас читаю, у openvpn есть сертификаты на стороне сервера и клиента. Их всегда можно менять, хоть каждую неделю.

Вобщем, как я понимаю, в обеих вариантах впн-сервера у керио (что ipsec, что керио впн) используется только логин/пароль, и администраторы постоянно наблюдают как логи пополняются неудачными попытками подбора паролей различными ботнетами китайских хакеров? Как вообще лучше всего побеждать подобную напасть? Замутить сложные пароли и игнорировать? Фильтровать множественные частые подключения и банить их, если актуальный керио это может? Ещё как-то?

[exchar]

Цитата

Сообщение от Немо

Нет ну причем тут без пароля, я имею ввиду то, что есть у ssh, когда генерируются rsa-ключи и загружаются на сервер и можно заходить не вводя логин с паролем.

имеются в виду действия пользователя на удаленном хосте - чтобы получить доступ ему не нужно вводить пароль.
способ же настройки такой дыры может быть различным =)

тут смысл такой:
сеть, которую защищает керио - доверенная, хосты там доверенные.
удаленный хост с впн-клиентом - не доверенный, хз кто к этому (заранее настроенному) хосту подошел чтобы в сеть за керио залезть.
и для доступа к защищенной сети этот "хз кто" либо хотя бы вводит пароль, либо его пускают просто так, без пароля. а уж на ключах там, сертификатах или еще чем вход злоумышленника без пароля будет настроен - дело исключительно ваше.

Цитата

Сообщение от Немо

Вобщем, как я понимаю, в обеих вариантах впн-сервера у керио (что ipsec, что керио впн) используется только логин/пароль, и администраторы постоянно наблюдают как логи пополняются неудачными попытками подбора паролей различными ботнетами китайских хакеров? Как вообще лучше всего побеждать подобную напасть?

вот интересно, для кого я написал:

Цитата:

Сообщение от exchar

или ограничивают подсетями конкретных провайдеров/мобильных операторов, если клиенты не разбросаны совсем уж сильно по провайдерам и сети белых ip провайдеров известны.

или у вас есть пользователи в сетях китайских провайдеров?.. =)

Цитата

Сообщение от Немо

Замутить сложные пароли и игнорировать?

да
и логины интереснее чем "petya" и "vasya"

Цитата

Сообщение от Немо

Фильтровать множественные частые подключения и банить их, если актуальный керио это может?

емнип не может
но в природе бывает всякий fail2ban и подобное, сам не настраивал за ненадобностью.

[naliman]

Цитата

Сообщение от Немо

Фильтровать множественные частые подключения и банить их, если актуальный керио это может? Ещё как-то?

в керио есть возможность блочить страны и регионы
если я его конечно с МДемоном не путаю, но помоему не путаю
забанить Китай да и флаг ему в руки
вообще всех забанить кроме России, если иностранцы в ваш ВПН не ходят.

[Немо]

Цитата:

Сообщение от exchar

имеются в виду действия пользователя на удаленном хосте - чтобы получить доступ ему не нужно вводить пароль.
способ же настройки такой дыры может быть различным =)

Кмк, сложные пароли совершенно не совместимы с желанием вводить их при каждом входе и в 100% такой, да и любой, пароль будет просто сохранён соответствующей галочкой в менеджере подключений на клиентской стороне, перестав отличаться от какого-либо токена.


Ну вообщем с этим понятно, попробую пока так, а далее может быть что-нибудь более специализированное поставлю на виртуалочку в дмз. Сейчас действительно важнее разграничить права одних и тех же юзеров, с доступом изнутри и снаружи, дабы условный любимый сынуля сотрудника не похерил что-то, заставив меня лезть в бекап)) Надо прикинуть как ловчее это провернуть.