Page 1 of 1

Tentativi di accesso su VPN

PostPosted: Tue 16 May , 2017 10:55 am
by morpheus257
Buongiorno a tutti,

negli ultimi giorni sto riscontrando delle cose strane nei log del mio firewall, vedo che un IP pubblico tenta di instaurare un collegamento in VPN. La mia rete è formata da 3 uffici connessi in full-mesh, la password del firewall è strong, ma nel caso in cui riuscissero ad accedere sarebbe un casino......

Vi posto il log opportunamente mascherato:

2017-05-16 11:11:47
info
IKE
ISAKMP SA [] is disconnected
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXXX
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
Send:[NOTIFY:NO_PROPOSAL_CHOSEN]
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
[SA] : No proposal chosen
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
[ID] : Tunnel [Nome_Mia_VPN] Local IP mismatch
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXX [count=3]
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
Recv:[SA][KE][NONCE][ID][VID][VID][VID][VID][VID][VID][VID][VID][VID]
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXXX
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
Recv Aggressive Mode request from [ip_esterno]
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0x0000000000000000
ip_esterno:606
mio_ip:500
IKE_LOG


Questo il log, l'ho preso in ordine di esecuzione, va letto dal basso verso l'alto :|
Facendo un Whois Domain ho trovato che l'IP appartiene ad un'azienda italiana (nella mia stessa città).

Come devo comportarmi? Da quanto vedo l'IP della sua LAN non fa il match con quello configurato nelle mie impostazioni e quindi la connessione cade, secondo voi come devo comportarmi in questa situazione?

Procedo con il mandare una mail al loro sito "abuse@xxxxxxx.xx" oppure provo a mettere in blacklist il loro IP e me ne frego?

Grazie!!

Buoan giornata :wink:

Re: Tentativi di accesso su VPN

PostPosted: Tue 16 May , 2017 11:13 am
by paolomat75
Ciao.
Io proverei a sentirli. Comunque se i tuoi uffici hanno ip pubblico statico farei una regola che possono provare ad accedere solo i tuoi ip.

Paolo

Re: Tentativi di accesso su VPN

PostPosted: Thu 01 Jun , 2017 2:31 pm
by morpheus257
Ciao Paolo,

si gli IP pubblici sono statici.

Consigli bene di fare una regola per il blocco, ma così bloccherei anche i colleghi che tentano di accedere in VPN quando lavorano da remoto, hanno tutti IP dinamici.

Per fare ciò dovrebbero munirsi di un servizio come dyndns ed abiliterei solo il dominio dal quale effettuano la chiamata (credo si possa fare).

Per quanto riguarda sentire la società che tenta di instaurare una connessione VPN con me, credi sia meglio mettermi al telefono e sperare di parlare con un loro tecnico, oppure è meglio mandare una mail ad abuse@...... come riportato nel whois?


Thanks ;)

Filippo.