Blokace vpn

[TOMIK]

jak zablokuji aby se syn nemohl pripojit vpn na bittorent teda spis jen bloknout vpn

[the.max]

zakázat na firewallu? Problém bude ale jinde. Ono je mraky a mraky různých VPN, které běhají na různých portech, některé dokonce běhají na 80 nebo 443 takže je pak problém je odlišit od HTTP/HTTPS provozu. Zakázat synovi torrenty je IMHO boj s větrnými mlýny. Pokud nestačí zákaz, pak ještě můžeš zkonfiskovat počítač.

[TOMIK]

zakázat na firewallu? Problém bude ale jinde. Ono je mraky a mraky různých VPN, které běhají na různých portech, některé dokonce běhají na 80 nebo 443 takže je pak problém je odlišit od HTTP/HTTPS provozu. Zakázat synovi torrenty je IMHO boj s větrnými mlýny. Pokud nestačí zákaz, pak ještě můžeš zkonfiskovat počítač.

proto sem myslel resit to burstem nastavit na chvili maximum a po schvili jen nevim treba 2 mb tim padem by se mu yooo stahnu na menci kvalitu a tim padem by zralo mit pousti vse v hd nebo v nejvetsi kvalite

[Ladik]

Aplikacni firewall a mas to Treba Sophos na doma je zdarma.
Pak uz muze spoustet co chce a ma smulu

[pcwifi]

chmmm, nezakazuju nic a nevidim duvod proc to delat. otazkou je proc to chces delat ?

[mpcz]

Zdravím, už se to tady sice probíralo, ale zajímal by mě poslední stav a samozřejmě delší zkušenost s různými variantami blokace "útoků" na VPN server pro případy, kdy je hraniční router i VPN server. Z logů všech takových strojů je vidět, že se roboti těmito pokusy intenzívně zabývají. Zatím je v logu jen záznam o vytvořeném spojení, ale nejlepší by bylo, kdyby tam nebylo vůbec nic. Děkuji, mpcz, 8.oct.2018

[mymartin]

jak zablokuji aby se syn nemohl pripojit vpn na bittorent teda spis jen bloknout vpn

Velký čínský firewall stojí ohromné peníze a VPN tam funguje stále.

Každý kdo trošku rozumí VPN tak si vždy najde způsob jak to obejít.

Jinak nemá smysl blokovat port 443, máli jinak fungovat internet normálně,
protože to by Vám nefungovalo žádné internetové bankovnictví atd.

Pokud otevřete nějaké webové stránky jako třeba https://www.seznam.cz/, je použit port 443.
Navíc na portu 443 nemá smysl běžně analyzovat pakety, protože https má být šifrováno.

[mpcz]

Zdravím, už se to tady sice probíralo, ale zajímal by mě poslední stav a samozřejmě delší zkušenost s různými variantami blokace "útoků" na VPN server pro případy, kdy je hraniční router i VPN server. Z logů všech takových strojů je vidět, že se roboti těmito pokusy intenzívně zabývají. Zatím je v logu jen záznam o vytvořeném spojení, ale nejlepší by bylo, kdyby tam nebylo vůbec nic. Děkuji, mpcz, 8.oct.2018

[ludvik]

Jak bysis to představoval? Pokud máš VPN a potřebuješ ji ven, tak prostě bude zpřístupněná ven a roboti to zkoušet budou. Je na tobě, jak bezpečnou použiješ. Nevím jak to omezit. Odfirewallovat to asi nepůjde (geoip mikrotik neumí, abys to mohl omezit třeba jen na ČR). Tak maximálně se můžeš inspirovat firewallem používaným (většinou) pro filtraci brute-force na SSH. Ale v případě ne-TCP to bude asi trochu problematické.

[rsaf]

Nestačí použít na VPN jiný port? Domnívám se, že tak se to před 99% útoků schová.

[the.max]

Mikrotik sice Geo-IP neumí, ale tohle funguje vcelku spolehlivě.

[mpcz]

Nestačí použít na VPN jiný port? Domnívám se, že tak se to před 99% útoků schová.

Dík, tak nějak jsem si to (zatím v mlze) představoval. Jde o to, jestli to na všech potřebných místech lze nějak jednoduše změnit. A vzhledem k tomu, že tu otrockou práci dělají roboti, tak to procento může být i vyšší. Někde jsem zahlédl i jiné tunely, u kterých lze port změnit. Třeba SSTP vypadá nadějně, má s tím někdo delší praktickou zkušenost? mpcz, 8.oct.2018

[ludvik]

Jo. Tohle mám naprosto úplně nejradši. Si tam někdo dá nějaký seznam sítí - a následně na to zapomene. A pak jiné sítě řeší, proč někde nefungují, nebo fungují špatně. Jsem si prošel peklem po přidělení 109.73.x.x ...

Mikrotik sice Geo-IP neumí, ale tohle funguje vcelku spolehlivě.

[honzam]

Jo. Tohle mám naprosto úplně nejradši. Si tam někdo dá nějaký seznam sítí - a následně na to zapomene. A pak jiné sítě řeší, proč někde nefungují, nebo fungují špatně. Jsem si prošel peklem po přidělení 109.73.x.x ...

Mikrotik sice Geo-IP neumí, ale tohle funguje vcelku spolehlivě.

Jo vzpomínám jak jsme to spolu řešili. Někde jsme byli bloknutí spolu... My měli 109.108....

[rsaf]

Dík, tak nějak jsem si to (zatím v mlze) představoval. Jde o to, jestli to na všech potřebných místech lze nějak jednoduše změnit. A vzhledem k tomu, že tu otrockou práci dělají roboti, tak to procento může být i vyšší. Někde jsem zahlédl i jiné tunely, u kterých lze port změnit. Třeba SSTP vypadá nadějně, má s tím někdo delší praktickou zkušenost? mpcz, 8.oct.2018

Hele tak to zkus. U šifrovaných protokolů má scanner docela problém poznat, co za službu na portu naslouchá, často to vůbec nepozná (pokud neproběhne kompletní TLS, nebaví se to s ním). Ze zkušenosti stačí změna na jiný port a útoků zásadně ubude. Měl jsem několik let RDP server na nestandardním portu, byl tam do windows uživatel admin s heslem admin, měl admin práva... a za několik let se tomu nic špatného nepřihodilo. Měl jsem miliony pokusů o přihlášení na SSH na portu 22, po změně na nějaký obskurní port (222 ani 2222 to není) je prakticky úplný klid.