[미크로틱] ipsec 접속보안 적용관련

NGC   
   조회 1216   추천 0    

안녕하세요

집에서도, 회사에서도 미크로틱으로 IPSEC VPN을 하나 열어놓고 사용중입니다.

그런데 Log를 보면 해외에서 vpn접속 시도가 매일같이 이루어지네요..

제가 VPN접속시 정해진 네트웍 망에서만 접속하는게 아니라서

Source를 지정할수도 없는데 어떻게 하는게 더 보안적으로 안전하게 차단할 수 있을까요?



gentoo 10-14
어차피 l2tp+ipsec기반이면 인증서/psk(pre-shared-key) 인증 방식인데 안뚫립니다. broot-force같은걸로는...
정 걱정되시면 psk 말고 인증서로 인증 받게 하시고 인증서를 들고다니시는 방법 정도가 있겠네요. 아니면 /ip firewall filter에 가셔서 address-list와 address-list-timeout을 잘 활용하시면 특정 시간 안에 특정 횟수 이상 접속시 해당 ip를 블록할 수도 있습니다.
geoip라는 국가별 ip db가 csv로 나온게 있는데 이걸 파이썬으로 파싱하셔서 미크로틱 address-list에 집어넣는 스크립트를 대충 짜실 수 있다면 국가별 ip 기반 패킷 필터링도 그리 어렵지 않게 하실 수 있고요. 물론 이건 원래 리눅스 커널에 있는 xtables라는 네트웍 패킷 필터 애드온에 들어가는 또다른 애드온에 쓰는거라 이런 다소 복잡한 삽질을 해야하는거지만요
알토냥 10-20
위의 gentoo님이 말씀한대로 인증서을 이용하면 뚫릴 가능성은 사실상 거의 없습니다.

다만 이게 귀찮으시다면 Source를 PortKnocking을 이용하여 임시지정하는 방법이 있습니다.

https://wiki.mikrotik.com/wiki/Port_Knocking
알토냥 11-03
흠 저도 최근에 IPSEC VPN을 회사에 구축하고 너무 공격 시도가 많이 들어오길래 UDP포트 500에 대해 방화벽으로 BruteForce 공격 차단을 걸었습니다.

설정법은 다음과 같습니다.

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

ps. 제가 이용한 스크립트입니다.

/ip firewall filter
#  Jump 룰의 경우 Input룰에서 전체 차단 룰 보다 위쪽으로 놓아두시면 됩니다.
add action=jump chain=input comment="in: Jump -> IPsec (New IPsec connection to UDP:500 WAN)" connection-state=new dst-port=500 in-interface-list=WAN jump-target=IPsec protocol=udp

# 나머지 룰은 아무곳이나 원하는 곳에 박아두세요. 어짜피 체인에 따라서 움직이기 때문에..
add action=add-src-to-address-list address-list=BlackList address-list-timeout=none-dynamic chain=IPsec comment="IPsec: Black List" log=yes log-prefix="IPsecBlackList] " src-address-list=IPsec_stage3
add action=add-src-to-address-list address-list=IPsec_stage3 address-list-timeout=10m chain=IPsec comment="IPsec: Stage 3" src-address-list=IPsec_stage2
add action=add-src-to-address-list address-list=IPsec_stage2 address-list-timeout=10m chain=IPsec comment="IPsec: Stage 2" src-address-list=IPsec_stage1
add action=add-src-to-address-list address-list=IPsec_stage1 address-list-timeout=10m chain=IPsec comment="IPsec: Stage 1"

# 그리고 BlackList를 차단하는 룰을 원하시는 방법으로 추가하세요. 저는 RAW룰에 추가했습니다.
/ip firewall raw
add action=drop chain=prerouting comment="Pre: Drop anyone in Black List" in-interface-list=WAN src-address-list=BlackList




제목Page 2/41
10-18   1190   버프엔지니…
10-12   1217   NGC
10-08   1544   익스텐션
10-08   2007   박건
10-08   1403   회원K
10-05   1701   김은호
10-04   1685   ENIHS
09-27   2434   살바
09-25   2298   팬도라
09-20   2389   권오준
09-19   2367   곰삼촌
09-18   2191   MOONL
09-18   2100   머도라훈
09-17   1750   회원K
09-16   2355   김은호
09-12   1467   winner712
09-05   2521   DONGMIN
09-04   2489   이창준
08-31   2398   아싸맨
08-30   2687   살구