LINUX.ORG.RU
ФорумAdmin

DIR 300 как обезопасить себя от взлома из-вне?

 , , , ,


0

1

Доброго времени суток, уважаемые форумчане.

Исходные данные:

  • Роутер DIR300
  • прошивка: Firmware: DD-WRT v24-sp2 (03/25/13) std
  • подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204
  • на нем запущен VPN server PPTP

В логах постоянно наблюдаю желающих «зайти в гости» по VPN. Поскольку все, что можно запретил в настройках Firewall (ssh, ping request, telnet, remote web control и т.д.), то остался только этот вариант )) Запросы не частые, и не то, чтобы уж их было сильно много, но запросов 10-15 в день имеется. Ниже привожу выдержку из журнала.

Так вот собственно вопросы:

  1. Какова вероятность того, что эти незваные гости рано или поздно все-таки смогут войти, хоть их никто и не приглашал?
  2. Как можно себя обезопасить еще больше? Какие методы фильтрации этих самых нежелательных запросов можно применить? Или тех настроек, что я уже сделал в фаерволе вполне достаточно?

Удаленный доступ к роутеру мне нужен по любому, так что отключать VPN - значит переходить на веб-морду - а это, наверное, еще менее надежно. Администрировать роутер тоже приходится с разных IP, так что привязки по этому параметру тоже не получится сделать.

Скрин настроек Firewall + VPN Server https://ibb.co/DDXBYkT

Jan 1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 18245 outside (0 - 220) Jan 1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 5635 outside (0 - 220)

Jan 1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection started Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: couldn’t read packet header (exit) Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: CTRL read failed Jan 1 19:44:28 DD-WRT daemon.debug pptpd[13445]: CTRL: Reaping child PPP[0] Jan 1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection finished

Jan 1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection started Jan 1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Starting call (launching pppd, opening GRE) Jan 1 21:51:53 DD-WRT daemon.notice pppd[14609]: pppd 2.4.5 started by root, uid 0 Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: couldn’t read packet header (exit) Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: CTRL read failed Jan 1 21:51:57 DD-WRT daemon.debug pptpd[14608]: CTRL: Reaping child PPP[14609] Jan 1 21:51:57 DD-WRT daemon.info pppd[14609]: Exit. Jan 1 21:51:57 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection finished

Jan 1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection started Jan 1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Starting call (launching pppd, opening GRE) Jan 1 21:51:57 DD-WRT daemon.notice pppd[14612]: pppd 2.4.5 started by root, uid 0 Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: couldn’t read packet header (exit) Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: CTRL read failed Jan 1 21:52:09 DD-WRT daemon.debug pptpd[14611]: CTRL: Reaping child PPP[14612] Jan 1 21:52:09 DD-WRT daemon.info pppd[14612]: Exit. Jan 1 21:52:09 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection finished


Извне могут легко взломать так как железка много лет без обновлений. Вроде как в конце 2019-го закончился срок поддержки dir 300 в OpenWRT. Так что лучше поменять на что-нибудь, что будет иметь достаточные характеристики для работы с OpenWRT или другой прошивкой, если беспокойство не прекратится.

anonymous ()

Какова вероятность того, что эти незваные гости рано или поздно все-таки смогут войти, хоть их никто и не приглашал?

Приблизительно больше чем про «анекдот блондинки и мамонта» pptp дыряв больше чем совсем, от него уж «производитель» открестился.

Если для «себя любимого» можно использовать «port knocking» или другие варианты vpn серверов.

PS
Не совсем стеб, поймите правильно:

dir-300

Угробище

прошивка: Firmware: DD-WRT v24-sp2 (03/25/13) std

Свежак

anc ★★★★★ ()