Tentativi di accesso su VPN

Virtual private networks e affini

Moderators: Federico.Lagni, Wizard, tonycimo, MaiO, CiscoBoy

Tentativi di accesso su VPN

Postby morpheus257 » Tue 16 May , 2017 10:55 am

Buongiorno a tutti,

negli ultimi giorni sto riscontrando delle cose strane nei log del mio firewall, vedo che un IP pubblico tenta di instaurare un collegamento in VPN. La mia rete è formata da 3 uffici connessi in full-mesh, la password del firewall è strong, ma nel caso in cui riuscissero ad accedere sarebbe un casino......

Vi posto il log opportunamente mascherato:

2017-05-16 11:11:47
info
IKE
ISAKMP SA [] is disconnected
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXXX
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
Send:[NOTIFY:NO_PROPOSAL_CHOSEN]
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
[SA] : No proposal chosen
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
[ID] : Tunnel [Nome_Mia_VPN] Local IP mismatch
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXX [count=3]
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
Recv:[SA][KE][NONCE][ID][VID][VID][VID][VID][VID][VID][VID][VID][VID]
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXXX
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
Recv Aggressive Mode request from [ip_esterno]
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0x0000000000000000
ip_esterno:606
mio_ip:500
IKE_LOG


Questo il log, l'ho preso in ordine di esecuzione, va letto dal basso verso l'alto :|
Facendo un Whois Domain ho trovato che l'IP appartiene ad un'azienda italiana (nella mia stessa città).

Come devo comportarmi? Da quanto vedo l'IP della sua LAN non fa il match con quello configurato nelle mie impostazioni e quindi la connessione cade, secondo voi come devo comportarmi in questa situazione?

Procedo con il mandare una mail al loro sito "abuse@xxxxxxx.xx" oppure provo a mettere in blacklist il loro IP e me ne frego?

Grazie!!

Buoan giornata :wink:
CCNA 200-120 Routing & Switching
CCNA 210-260 Security
morpheus257
Cisco fan
 
Posts: 38
Joined: Tue 16 Jul , 2013 10:00 am
Location: Frosinone - Viareggio -> Spostato a Milano :-)

Re: Tentativi di accesso su VPN

Postby paolomat75 » Tue 16 May , 2017 11:13 am

Ciao.
Io proverei a sentirli. Comunque se i tuoi uffici hanno ip pubblico statico farei una regola che possono provare ad accedere solo i tuoi ip.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2931
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Tentativi di accesso su VPN

Postby morpheus257 » Thu 01 Jun , 2017 2:31 pm

Ciao Paolo,

si gli IP pubblici sono statici.

Consigli bene di fare una regola per il blocco, ma così bloccherei anche i colleghi che tentano di accedere in VPN quando lavorano da remoto, hanno tutti IP dinamici.

Per fare ciò dovrebbero munirsi di un servizio come dyndns ed abiliterei solo il dominio dal quale effettuano la chiamata (credo si possa fare).

Per quanto riguarda sentire la società che tenta di instaurare una connessione VPN con me, credi sia meglio mettermi al telefono e sperare di parlare con un loro tecnico, oppure è meglio mandare una mail ad abuse@...... come riportato nel whois?


Thanks ;)

Filippo.
CCNA 200-120 Routing & Switching
CCNA 210-260 Security
morpheus257
Cisco fan
 
Posts: 38
Joined: Tue 16 Jul , 2013 10:00 am
Location: Frosinone - Viareggio -> Spostato a Milano :-)


Return to VPN

Who is online

Users browsing this forum: Google [Bot] and 0 guests