" "
Продукты
Бренд
Как купить
Поддержка
Стать дилером
Решения
8 499 455-06-82
Пн-Пт с 09:00 до 18:00
VPN-роутеры
Точки доступа
Коммутаторы
VPN-роутеры по типу:
Ethernet Dual-WAN
С VoIP-шлюзом
С встроенным LTE
С поддержкой ADSL/VDSL
Категории:
8 499 455-06-82
Пн-Пт с 09:00 до 18:00
База знаний
2022-05-23 17:52 Безопасность

Как заблокировать неизвестный IP-адрес, который продолжает звонить через VPN на Vigor Router

В качестве VPN-сервера Vigor Router всегда прослушивает порты VPN для приема VPN-подключений из Интернета. Иногда мы можем видеть, что некоторые неизвестные IP-адреса продолжают отправлять VPN-запрос на маршрутизатор Vigor в системном журнале, но не можем определить, кто является удаленным узлом. Это раздражает и может быть угрозой безопасности. В этом документе показано, как заблокировать неизвестный IP-адрес, который постоянно подключается к маршрутизатору Vigor через VPN.


Начиная с прошивки 4.4.0, Vigor Router поддерживает локальный фильтр, который можно применить к самому Vigor Router. С помощью локального фильтра мы можем заблокировать некоторые неизвестные IP-адреса, которые продолжают набирать VPN или пытаются получить доступ к маршрутизатору по протоколу HTTP. Кроме того, мы также можем заблокировать IP-адреса из определенных стран, чтобы предотвратить атаку с IP-адреса из указанной страны. В этой статье мы демонстрируем некоторые практические применения локального фильтра.

Приложение 1: добавьте неизвестный IP-адрес в черный список IP-адресов


  1. Перейдите в Firewall >> Defense Setup и включите Dos Defense.

 2.Нажмите « White/Black IP List Option» .
Выберите журнал, если вы хотите видеть из Syslog Explorer.
Введите IP-адрес неизвестного узла и нажмите «Добавить», чтобы добавить IP-адрес в черный список IP-адресов.
Примечание :
  • Исходный IP-адрес поддерживает 4 параметра для определения свойств IP-адреса. 
  • IP может вводить один IP-адрес. 
  • IP Object может применяться к профилю объекта, определенному в Objects Setting >> IP Object заранее. 
  • IP Group может применяться к профилю объекта группы, определенному в Objects Setting >> IP Group заранее. 
  • Country Object может применяться только к профилю объекта, определенному в Objects Setting >> Country Object заранее.


В системном журнале мы получим предупреждение от маршрутизатора, когда IP-адрес из черного списка попытается получить доступ.

Приложение 2: разрешить службу VPN из указанной страны


  1. Перейдите в «Objects Setting >> Country Object» , чтобы создать профиль.
  • Дайте имя профиля.
  • Добавьте страну, которую мы хотели бы разрешить.
  • Нажмите OK, чтобы сохранить.

Перейдите в «Objects Setting >> Service Type Object» , чтобы создать профиль.
Здесь мы возьмем, например, SSL VPN.
  • Дайте имя профиля.
  • Выберите протокол, который использует эта служба.
  • Введите порт, который эта служба будет использовать в поле Порт назначения.
  • Нажмите OK, чтобы сохранить.

Примечание :
  • Разные службы используют разные сервисные порты 
  • PPTP -> TCP 1723, GRE (протокол 47) 
  • L2TP -> TCP 1701, UDP 500/4500 
  • IPsec -> UDP 500/4500, ESP (протокол 50) 
  • SSL -> TCP 443 
  • OpenVPN -> TCP 443/1194, UDP 1194

Если мы хотим заблокировать множество служб, мы можем добавить эти объекты служб в группу типов служб.

Перейдите в Firewall >> Filter Setup, чтобы создать правило, которое блокирует службу VPN с любого исходного IP-адреса.
  • Включите это правило.
  • Выберите WAN-> Localhost для направления.
  • Выберите Любой в исходном IP-адресе/стране.
  • Выберите объект службы (или группу служб), созданный на шаге 2, в разделе «Тип службы».
  • Выберите Блокировать, если больше нет совпадений для фильтра. (Проверьте системный журнал, чтобы просмотреть журналы этого правила.)
  • Нажмите OK, чтобы сохранить.


Создайте еще одно правило, чтобы разрешить указанной стране использовать эту службу.
  • Включите это правило.
  • Выберите WAN-> Localhost для направления.
  • Выберите объект страны, созданный на шаге 1, в исходном IP-адресе/стране.
  • Выберите объект службы (или группу служб), созданный на шаге 2, в разделе «Тип службы».
  • Выберите Пропустить немедленно для фильтра. (Проверьте системный журнал, чтобы просмотреть журналы этого правила.)
  • Нажмите OK, чтобы сохранить.


Примечание. Если служба использует SSL, измените порт управления маршрутизатора. В противном случае правило брандмауэра также заблокирует доступ к странице WUI маршрутизатора.


В системном журнале мы увидим журналы брандмауэра, когда IP-адрес из этой страны пытается установить VPN-соединение.


Приложение 3: Блокировка VPN-подключения с помощью защиты от грубой силы


Vigor Router поддерживает параметры VPN-сервера в защите от грубой силы, которая позволяет пользователям блокировать попытки входа в учетную запись VPN от атаки грубой силы.
  1. Перейдите в раздел « System Maintenance >> Management» , чтобы настроить защиту от грубой силы.
  • включить Brute Force Protection .
  • выберите вариант VPN-сервера .
  • Выберите Maximum login failures от 1 до 255 раз.
  • Выберите Penalty period от 1 до 31536000 секунд.


В системном журнале мы увидим журналы брандмауэра о том, что одноранговый узел с тем же IP-адресом будет запрещен защитой грубой силы после того, как он превысит максимальное время неудачного входа в систему.