Blokace vpn

Místo, kde žádná otázka není hloupá.
TOMIK
Příspěvky: 342
Registrován: 12 years ago

Blokace vpn

Příspěvekod TOMIK » 2 years ago

jak zablokuji aby se syn nemohl pripojit vpn na bittorent teda spis jen bloknout vpn
0 x

the.max
Příspěvky: 1179
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 2 years ago

zakázat na firewallu? Problém bude ale jinde. Ono je mraky a mraky různých VPN, které běhají na různých portech, některé dokonce běhají na 80 nebo 443 takže je pak problém je odlišit od HTTP/HTTPS provozu. Zakázat synovi torrenty je IMHO boj s větrnými mlýny. Pokud nestačí zákaz, pak ještě můžeš zkonfiskovat počítač.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

TOMIK
Příspěvky: 342
Registrován: 12 years ago

Příspěvekod TOMIK » 2 years ago

the.max píše:zakázat na firewallu? Problém bude ale jinde. Ono je mraky a mraky různých VPN, které běhají na různých portech, některé dokonce běhají na 80 nebo 443 takže je pak problém je odlišit od HTTP/HTTPS provozu. Zakázat synovi torrenty je IMHO boj s větrnými mlýny. Pokud nestačí zákaz, pak ještě můžeš zkonfiskovat počítač.


proto sem myslel resit to burstem nastavit na chvili maximum a po schvili jen nevim treba 2 mb tim padem by se mu yooo stahnu na menci kvalitu a tim padem by zralo mit pousti vse v hd nebo v nejvetsi kvalite
0 x

Ladik
Příspěvky: 1314
Registrován: 9 years ago
antispam: Ano

Příspěvekod Ladik » 2 years ago

Aplikacni firewall a mas to :-) Treba Sophos na doma je zdarma.
Pak uz muze spoustet co chce a ma smulu :-)
0 x

Uživatelský avatar
pcwifi
Příspěvky: 2909
Registrován: 11 years ago
antispam: Ano
Bydliště: Brnensko

Příspěvekod pcwifi » 2 years ago

chmmm, nezakazuju nic a nevidim duvod proc to delat. otazkou je proc to chces delat ?
0 x
Umřel sem, tak do mě nekopte a nechte mne spát... budoucnost bezdrátových sítí je jen mimo venek, kdo doteď nezačal s budováním optických sítí, půjde do 4 let pod drn ( do konce r. 2021) i diky 3,7Ghz u velkych operatoru

mpcz
Příspěvky: 2442
Registrován: 13 years ago

Příspěvekod mpcz » 4 months ago

Zdravím, už se to tady sice probíralo, ale zajímal by mě poslední stav a samozřejmě delší zkušenost s různými variantami blokace "útoků" na VPN server pro případy, kdy je hraniční router i VPN server. Z logů všech takových strojů je vidět, že se roboti těmito pokusy intenzívně zabývají. Zatím je v logu jen záznam o vytvořeném spojení, ale nejlepší by bylo, kdyby tam nebylo vůbec nic. Děkuji, mpcz, 8.oct.2018
0 x

mymartin
Příspěvky: 21
Registrován: 1 year ago

Příspěvekod mymartin » 4 months ago

TOMIK píše:jak zablokuji aby se syn nemohl pripojit vpn na bittorent teda spis jen bloknout vpn


Velký čínský firewall stojí ohromné peníze a VPN tam funguje stále.

Každý kdo trošku rozumí VPN tak si vždy najde způsob jak to obejít.

Jinak nemá smysl blokovat port 443, máli jinak fungovat internet normálně,
protože to by Vám nefungovalo žádné internetové bankovnictví atd.

Pokud otevřete nějaké webové stránky jako třeba https://www.seznam.cz/, je použit port 443.
Navíc na portu 443 nemá smysl běžně analyzovat pakety, protože https má být šifrováno.
0 x

mpcz
Příspěvky: 2442
Registrován: 13 years ago

Příspěvekod mpcz » 4 months ago

Zdravím, už se to tady sice probíralo, ale zajímal by mě poslední stav a samozřejmě delší zkušenost s různými variantami blokace "útoků" na VPN server pro případy, kdy je hraniční router i VPN server. Z logů všech takových strojů je vidět, že se roboti těmito pokusy intenzívně zabývají. Zatím je v logu jen záznam o vytvořeném spojení, ale nejlepší by bylo, kdyby tam nebylo vůbec nic. Děkuji, mpcz, 8.oct.2018
0 x

ludvik
Příspěvky: 4059
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

Jak bysis to představoval? Pokud máš VPN a potřebuješ ji ven, tak prostě bude zpřístupněná ven a roboti to zkoušet budou. Je na tobě, jak bezpečnou použiješ. Nevím jak to omezit. Odfirewallovat to asi nepůjde (geoip mikrotik neumí, abys to mohl omezit třeba jen na ČR). Tak maximálně se můžeš inspirovat firewallem používaným (většinou) pro filtraci brute-force na SSH. Ale v případě ne-TCP to bude asi trochu problematické.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

rsaf
Příspěvky: 1001
Registrován: 12 years ago

Příspěvekod rsaf » 4 months ago

Nestačí použít na VPN jiný port? Domnívám se, že tak se to před 99% útoků schová.
0 x

the.max
Příspěvky: 1179
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 months ago

Mikrotik sice Geo-IP neumí, ale tohle funguje vcelku spolehlivě.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

mpcz
Příspěvky: 2442
Registrován: 13 years ago

Příspěvekod mpcz » 4 months ago

rsaf píše:Nestačí použít na VPN jiný port? Domnívám se, že tak se to před 99% útoků schová.

Dík, tak nějak jsem si to (zatím v mlze) představoval. Jde o to, jestli to na všech potřebných místech lze nějak jednoduše změnit. A vzhledem k tomu, že tu otrockou práci dělají roboti, tak to procento může být i vyšší. Někde jsem zahlédl i jiné tunely, u kterých lze port změnit. Třeba SSTP vypadá nadějně, má s tím někdo delší praktickou zkušenost? mpcz, 8.oct.2018
0 x

ludvik
Příspěvky: 4059
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

Jo. Tohle mám naprosto úplně nejradši. Si tam někdo dá nějaký seznam sítí - a následně na to zapomene. A pak jiné sítě řeší, proč někde nefungují, nebo fungují špatně. Jsem si prošel peklem po přidělení 109.73.x.x ...
the.max píše:Mikrotik sice Geo-IP neumí, ale tohle funguje vcelku spolehlivě.
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Uživatelský avatar
honzam
Příspěvky: 5249
Registrován: 11 years ago

Příspěvekod honzam » 4 months ago

ludvik píše:Jo. Tohle mám naprosto úplně nejradši. Si tam někdo dá nějaký seznam sítí - a následně na to zapomene. A pak jiné sítě řeší, proč někde nefungují, nebo fungují špatně. Jsem si prošel peklem po přidělení 109.73.x.x ...
the.max píše:Mikrotik sice Geo-IP neumí, ale tohle funguje vcelku spolehlivě.

Jo vzpomínám jak jsme to spolu řešili. Někde jsme byli bloknutí spolu... My měli 109.108....
1 x

rsaf
Příspěvky: 1001
Registrován: 12 years ago

Příspěvekod rsaf » 4 months ago

mpcz píše:Dík, tak nějak jsem si to (zatím v mlze) představoval. Jde o to, jestli to na všech potřebných místech lze nějak jednoduše změnit. A vzhledem k tomu, že tu otrockou práci dělají roboti, tak to procento může být i vyšší. Někde jsem zahlédl i jiné tunely, u kterých lze port změnit. Třeba SSTP vypadá nadějně, má s tím někdo delší praktickou zkušenost? mpcz, 8.oct.2018

Hele tak to zkus. U šifrovaných protokolů má scanner docela problém poznat, co za službu na portu naslouchá, často to vůbec nepozná (pokud neproběhne kompletní TLS, nebaví se to s ním). Ze zkušenosti stačí změna na jiný port a útoků zásadně ubude. Měl jsem několik let RDP server na nestandardním portu, byl tam do windows uživatel admin s heslem admin, měl admin práva... a za několik let se tomu nic špatného nepřihodilo. Měl jsem miliony pokusů o přihlášení na SSH na portu 22, po změně na nějaký obskurní port (222 ani 2222 to není) je prakticky úplný klid.
0 x


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: tomasbabik a 2 hosti