Добавить защиту VPN серверов по количеству логинов в минуту

[leo249]

Имеющаяся в Кинетиках защита серверов от перебора паролей путем блокировки конкретного IP в современных реалиях массовой зараженности интернета бот сетями НЕЭФФЕКТИВНА!!   Поэтому я бы настоятельно рекомендовал разработчикам или просто ограничить число логонов в минуту или включать защиту от частоты логонов при превышении порога по количеству. 

НЕОБХОДИМО ОГРАНИЧИВАТЬ ЧИСЛО ЛОГОНОВ В МИНУТУ! Ни в каком SOHO рутере не потребуется обслуживать скажем 60 подключений к серверу в минуту! Обычно требуются 1-2 подключения в минуту, не больше! Тем не менее VPN сервера в Keenetic готовы обрабатывать и 100 подключений и это массивная дыра в безопасности!

  Куча "сканнер сервисов" предлагают  результаты сканирования по всему диапазону IP4 в виде списков IP с серверами, эти списки используют бот сети для массовых распределенных на тысячи IP брут форс атак, от которых Kinetic никак не защищен. Скорость перебора паролей ограничена только скоростью реакции сервера в Keenetic!

Учитывая массу простых логинов/паролей, что часто устанавливают администраторы в рутерах и быструю реакцию сервера на логон, подобного рода атаки легко дают результаты и зараза растет! 

Я лично наблюдаю в своих логах множественные координированные РАСПРЕДЕЛЕННЫЕ атаки перебором логинов и паролей с сотен и тысяч различных IP.  причем сервер обрабатывает каждую попытку перебора за доли секунды  вот кусок лога:

ppp-pptp: ppp5:: connect: ppp5 <--> pptp(45.78.7.244 (45) )
ppp-pptp: ppp5:: mschap-v2: user not found
ppp-pptp: ppp5:vpn: vpn: authentication failed
ppp-pptp: ppp5:: pptp: disconnected
ppp-pptp: pptp: new connection from 104.255.69.56 (104)
ppp-pptp: ppp5:: connect: ppp5 <--> pptp(104.255.69.56 (104) )
ppp-pptp: ppp5:: mschap-v2: user not found
ppp-pptp: ppp5:aysylu: aysylu: authentication failed
ppp-pptp: ppp5:: pptp: disconnected
ppp-pptp: pptp: new connection from 45.78.6.34 (45)
ppp-pptp: ppp5:: connect: ppp5 <--> pptp(45.78.6.34 (45) )
ppp-pptp: ppp5:: mschap-v2: user not found
ppp-pptp: ppp5:vera: vera: authentication failed
ppp-pptp: ppp5:: pptp: disconnected
ppp-pptp: pptp: new connection from 45.78.5.68 (45)
ppp-pptp: ppp5:: connect: ppp5 <--> pptp(45.78.5.68 (45) )
ppp-pptp: ppp5:: mschap-v2: user not found
ppp-pptp: ppp5:matvey: matvey: authentication failed
 

Учитывая тот факт, что я наблюдаю массированные  атаки с сотен различных IP не предоставляя никому никаких публичных услуг (у меня сугубо личные VPN сервера, связывающие дачу, дом и квартиру), и мой IP ничем особенно не "засвечен",  следует предположить, что сейчас, инфицированность интернета бот сетями вышла на совсем другой уровень, чем ранее, и такие атаки ОЧЕНЬ распространены, ДАЛЬШЕ БУДЕТ ХУЖЕ, и Вы отстаете от реалий жизни!!  Просто мало кто из Ваших юзеров это замечает.

В моей конкретной распределенной брутфорс атаке на PPTP в логах  видно, что идет перебор по списку часто используемых логинов, причем зараза шла с одного конкретного крупного канадского хостинг  провайдера "Cluster-Logic Inc" подразделение "4974 Kingsway, Unit 668" (IP резолвятся на  16.clouds.com) имеющего  около 10 разных диапазонов по несколько тысяч IP, и как только я заткнул все диапазоны, атака пропала. Пока хоть один диапазон был открыт, оттуда продолжался перебор паролей. Можете предположить какое огромное количество зараженных компьютеров и они уж точно не на меня лично нацелились!

 

Леонид.

[Петька и Василий Иванович]

Может возникнуть ситуация когда вы же и будете заблокированы. Выход - использовать длинный и сложный пароль . Примерно оценить можно по картинке ниже, и в вашем случает все намного лучше, т.к. хеша нет у злоумышленника:

Другое дело, может ли перебор положить роутер.

Изменено 25 февраля, 2024 пользователем Петька и Василий Иванович