Comment bloquer une adresse IP inconnue qui continue à composer un VPN sur le routeur Vigor ?
>
>
Comment bloquer une adresse IP inconnue qui continue à composer un VPN sur le routeur Vigor ?

Article sections

    En tant que serveur VPN, les modem-routeurs et routeurs Vigor écoutent toujours les ports VPN pour accepter la connexion VPN sur Internet. Parfois, nous pouvons voir des adresses IP inconnues continuer à envoyer une demande VPN aux Vigor sur le Syslog, mais nous ne pouvons pas savoir qui est le pair distant. C’est ennuyeux et pourrait constituer un risque pour la sécurité. Cette article montre comment bloquer l’adresse IP inconnue qui continue à composer le VPN vers modem-routeurs et routeurs Vigor

     

    • DrayOS
    • Linux

    Depuis le firmware 4.4.0, les modems et les routeurs Vigor prennent en charge le filtre local qui peut être appliqué à Vigor Router lui-même. Avec le filtre local, nous pouvons bloquer certaines adresses IP inconnues qui continuent à composer le VPN ou à essayer d’accéder au routeur avec le protocole HTTP. En outre, nous pouvons également bloquer les adresses IP de pays spécifiés pour empêcher l’attaque de la IP d’un pays spécifié. Cette article, explique comment appliquer le filtre local.

    Application 1 : Ajouter l’adresse IP inconnue dans la liste noire IP

    1. Allez dans Firewall (Pare-feu)>> Defense Setup (Configuration de la défense) et activez Dos Defense.


    2. Cliquez sur White/Black list Option
    Sélectionnez log si vous voulez voir à partir de Syslog Explorer.

    Entrez l’adresse IP du pair inconnu et cliquez sur Add (Ajouter) pour ajouter l’adresse IP à la liste Black IP.

    Remarque :

    • L’IP source prend en charge 4 options pour définir les propriétés IP.
    • La plage IP peut entrer une seule adresse IP.
    • L’objet IP peut s’appliquer au profil d’objet défini dans Objects Setting (Paramètres des objets)>> IP Object (Objet IP) à l’avance.
    • Le groupe IP peut s’appliquer au profil d’objet du groupe défini dans Objects Setting >> IP Group (Groupe d’IP) à l’avance.
    • Country Object ne peut s’appliquer qu’au profil d’objet défini dans Réglage des objets >> Country Object (Objet de pays) à l’avance.

    Dans le Syslog, nous recevrons une alerte du routeur lorsque l’adresse IP de la Black list tentera d’y accéder.

    Application 2 : Autoriser le service VPN à partir d’un pays spécifié

    1. Allez dans Objects Setting >> Country Object pour créer un profil.

    1. Donnez un nom de profil.
    2. Ajoutez le pays que nous aimerions autoriser.
    3. Cliquez sur OK pour enregistrer.

    2. Allez dans Paramètres des objets >> Type de service Objet pour créer un profil.
    Ici, nous prenons le VPN SSL par exemple.

    1. Donnez un nom de profil.
    2. Choisissez le protocole utilisé par ce service.
    3. Entrez dans le port que ce service utiliserait dans le port de destination.
    4. Cliquez sur OK pour enregistrer.

    Remarque : Différents services utilisent différents ports de service
    PPTP -> TCP 1723, GRE(protocole 47)
    L2TP -> TCP 1701, UDP 500/4500
    IPsec -> UDP 500/4500, ESP (protocole 50)
    SSL -> TCP 443
    OpenVPN -> TCP 443/1194, UDP 1194

    3. (Facultatif) Si nous voulons bloquer de nombreux services, nous pouvons ajouter ces objets de service dans le groupe de types de service.

    4. Allez dans Firewall >> Filter Setup (Configuration du filtre) pour créer une règle qui bloque le service VPN à partir de n’importe quelle adresse IP source.

    1. Activez cette règle.
    2. Choisissez WAN->Localhost pour Direction.
    3. Sélectionnez Any on Source IP/Country.
    4. Sélectionnez l’objet de service (ou le groupe de services) créé à l’étape 2 sur Type de service.
    5. Choisissez Bloc si vous ne correspondez plus au filtre. (Cochez Syslog pour afficher les journaux de cette règle.)
    6. Cliquez sur OK pour enregistrer.

    5. Créez une autre règle pour permettre au pays spécifié d’utiliser ce service.

    1. Activez cette règle.
    2. Choisissez WAN->Localhost pour Direction.
    3. Sélectionnez l’objet pays créé à l’étape 1 sur l’adresse IP/Pays source.
    4. Sélectionnez l’objet de service (ou le groupe de services) créé à l’étape 2 sur Type de service.
    5. Choisissez Passer immédiatement pour le filtre. (Cochez Syslog pour afficher les journaux de cette règle.)
    6. Cliquez sur OK pour enregistrer.


    Remarque : Si le service est SSL, veuillez modifier le port de gestion du routeur. Sinon, la règle du pare-feu bloquerait également l’accès à la page WUI du routeur.


    Dans le Syslog, nous verrons les journaux du pare-feu lorsqu’une adresse IP de ce pays essaiera de composer une connexion VPN.

    Application 3 : Bloquer la connexion VPN par Protection Brute Force

    Vigor Router prend en charge les options de serveur VPN dans Brute Force Protection, ce qui permet aux utilisateurs de refuser les tentatives de connexion au compte VPN à partir d’une attaque par force brute.

    1. Allez dans Maintenance du système >> Gestion pour configurer la protection contre les forces brutes.

    activer la protection contre les forces brutes.
    sélectionnez l’option serveur VPN.
    configuration Échecs de connexion maximum de 1 à 255 fois.
    setup Période de pénalité de 1 à 31536000 secondes.

    Dans le Syslog, nous verrons les journaux de pare-feu que le pair avec la même adresse IP sera refusé par Brute Force Protection après avoir dépassé le temps maximal d’échec de connexion.


    Pour savoir comment utiliser Syslog Utility pour collecter le syslog, veuillez vous référer à l’article Collecte du Syslog du routeur

    1. Allez sur la page Paramètres des objets >> Objet IP et ajoutez l’adresse IP inconnue en tant qu’adresse IP.

    1. Donnez un nom de profil.
    2. Sélectionnez Single comme type d’adresse.
    3. Entrez l’adresse IP homologue inconnue comme adresse IP de départ.


    2. Allez dans Réglage des objets >> Objets temporels page et ajoutez un objet temps.

    1. Donnez un nom de profil.
    2. Sélectionnez Jours de semaine comme fréquence.
    3. Entrez l’heure de début, l’heure de fin et les jours de semaine.

    Remarque : Veuillez entrer l’heure de début qui est plus tardive mais fermée à l’heure actuelle, et l’heure de fin est un peu plus antérieure à l’heure de début. Par exemple, si l’heure actuelle est 15h55 et que nous pouvons entrer l’heure de début à 16h00 et l’heure de fin 15h59:59. Après les effets de règle du pare-feu, cet objet temporel peut être supprimé.

    3. Allez sur la page Pare-feu >> Configuration du filtre, créez un groupe de filtres IP, puis cliquez sur Ajouter pour créer une règle de filtrage IP pour bloquer l’adresse IP homologue inconnue.

    1. Cochez Activer.
    2. Sélectionnez Bloquer comme action.
    3. Dans Horaire horaire >> Objet temps, sélectionnez l’objet Temps créé à l’étape précédente.
    4. Dans Calendrier >> Réglage avancé, sélectionnez Effacer la session lorsque le planificateur est activé.
    5. Dans IP source, sélectionnez l’objet IP créé à l’étape précédente.
    6. Appliquez le paramètre.

    Après cela, nous verrons ce type de journal du pare-feu au lieu du journal VPN :

    <13>Dec 27 17:13:02 Vigor: [Clear Session] Delete conntrack by ip_filter_set_rule : unknown
    <135>Dec 27 17:13:07 Vigor: [IPF-unknown] BLOCK src ip 1.2.3.4 mac 00:1d:aa:xx:xx:xx dst ip 172.17.5.92 proto udp DPT=500, skbmark=10000002/0

    Start typing and press Enter to search

    Shopping Cart

    Votre panier est vide.