Запретить icmp трафик к своему vpn серверу: Как запретить ICMP трафик к своему VPN серверу? — Хабр Q&A

Запретить ICMP трафик к своему VPS

Запретить ICMP трафик к своему VPS можно добавив правило в сетевой фильтр iptables, с указанием источника, адресата, типа протокола и нужного действия.

Адрес сервера в примере -123.123.123.123

С локального компьютера отправляем один пакет ICMP

ping -c 1 123.123.123.123

PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.
64 bytes from 123.123.123.123: icmp_seq=1 ttl=53 time=75.7 ms

— 123.123.123.123 ping statistics —
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 75.787/75.787/75.787/0.000 ms

Потеря 0%, значит никаких запретов изначально нет.

Чтобы ограничить трафик требуется отредактировать правила iptables на сервере.

iptables -A INPUT -p icmp —icmp-type 8 -s 0/0 -d 123.123.123.123 -m state —state NEW,ESTABLISHED,RELATED -j DROP

В качестве действия указываем DROP

iptables-save

# Generated by iptables-save v1.6.0 on Fri Aug 31 06:48:58 2018
*filter
:INPUT ACCEPT [7:488]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:680]
-A INPUT -d 123.123.123.123/32 -p icmp -m icmp —icmp-type 8 -m state —state NEW,RELATED,ESTABLISHED -j DROP
COMMIT

Вновь проверяем с локального компьютера

ping -c 1 123.123.123.123

PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.

— 123.123.123.123 ping statistics —
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Потери 100%, входящие ICMP  пакеты будут отбрасываться во всех случаях.

Стоит отметить, что ICMP пакеты могут быть двух типов:

0 — echo-reply

8 — echo-request

В примере заблокированы только те, которые относятся к типу echo-request

Запретить исходящий ICMP трафик с сервера можно так

iptables -A OUTPUT -p icmp —icmp-type 8 -j DROP

Чтобы правила сохранились после перезагрузки сервера можно установить дополнительно пакет iptables-persistent

Блокировать ли ICMP трафик? Вопрос безопасности

Автор Андрей Смирнов На чтение 8 мин. Просмотров 4.6k. Опубликовано 26.07.2017

Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.

Статья отвечает на вопрос насколько опасно блокировать ICMP трафик.

ICMP — яблоко раздора

Многие сетевые администраторы считают, что протокол межсетевых управляющих сообщений (Internet Control Message Protocol (ICMP) представляет собой угрозу безопасности и поэтому должен всегда блокироваться на брандмауэре. Это правда, что протокол имеет некоторые связанные с этим проблемы безопасности, и что часть запросов должна быть заблокирована. Но это не повод блокировать весь ICMP-трафик!

ICMP-трафик имеет много важных функций; какие то из них полезны для устранения неполадок, другие же необходимы для правильной работы сети. Ниже приведены сведения о некоторых важных составляющих ICMP протокола, о которых вы должны знать. Следует подумать над тем, как оптимальным образом пропускать их через вашу сеть.

Echo запрос и and Echo ответ

IPv4 – Echo запрос (Type8, Code0) и Echo ответ (Type0, Code0)
IPv6 – Echo запрос (Type128, Code0) and Echo ответ (Type129, Code0)

Мы все хорошо знаем, что ping, — один из первых инструментов для поиска и устранения неполадок. Да, если вы включите на своем оборудование обработку ICMP-пакетов, то это значит, что ваш хост теперь доступен для обнаружения, но разве ваш веб-сервер уже не слушает порт 80, и не отправляет ответы на клиентские запросы? Конечно, заблокируйте ещё и эти запросы, если вы действительно хотите, чтобы на границе сети была ваша DMZ. Но блокируя ICMP трафик внутри вашей сети, не усилите защиту, напротив получите систему с излишне сложным процессом поиска и устранения неполадок («Проверьте пожалуйста отзывается ли шлюз на сетевые запросы?», «Нет, но это меня ничуть не расстраивает, потому что мне это ничего не скажет! »).

Помните, также можете разрешить прохождение запросов в определенном направлении; например, настроить оборудование так, чтобы Echo запросы из вашей сети проходили в сеть Интернет и Echo ответы из Интернета в вашу сеть, но не наоборот.

Необходима фрагментация пакета (IPv4) / Пакет слишком большой (IPv6)

IPv4 – (Type3, Code4)
IPv6 – (Type2, Code0)

Данные компоненты протокола ICMP очень важны, так как являются важным компонентом в Path MTU Discovery (PMTUD), который является неотъемлемой частью протокола TCP. Позволяет двум хостам корректировать значение максимального размера сегмента TCP (MSS) до значения, которое будет соответствовать наименьшему MTU по пути связей между двумя адресатами. Если на пути следования пакетов будет узел с меньшим Maximum Transmission Unit, чем у отправителя или получателя, и у них не будет средств для обнаружения данной коллизии, то трафик будет незаметно отбрасывается. И вы не будете понимать что происходит с каналом связи; другими словами, «для вас наступят веселые деньки».

Don’t Fragment – ICMP не пройдет!

Передача IPv4-пакетов с установленным битом Don’t Fragment (большинство из них!) или IPv6-пакетов (помним, что в IPv6 нет фрагментации маршрутизаторами), которые слишком велики для передачи через интерфейс, приведёт к тому, что маршрутизатор отбросит пакет и сформирует ответ источнику передачи с следующими ICMP-ошибками: Требуется Фрагментация (Fragmentation Required), либо Пакет Слишком Большой (Packet Too Big). Если ответы с этими ошибками не смогут вернуться к отправителю, то он будет интерпретировать отсутствие подтверждающих ответов о доставке пакетов ACK (Acknowledge) от получателя в качестве перегрузки / потери и источником для повторной передачи пакетов, которые также будут отбрасываться.

Сложно выявить причину подобной проблемы и быстро устранить, процесс обмена TCP-рукопожатиями (TCP-handshake) работает нормально, поскольку в нем задействованы небольшие пакеты, но как только происходит массовая передача данных сеанс передачи зависает, так как источник передачи не получает сообщения об ошибках.

Исследование пути доставки пакетов

RFC 4821 был разработан для того, чтобы помочь участникам передачи трафика в сети обойти эту проблему, используя исследование пути распространения пакетов (Path MTU Discovery (PLPMTUD). Стандарт позволяет обнаружить максимальный объём данных (Maximum Transmission Unit (MTU), который может быть передан протоколом за одну итерацию,  путем постепенного увеличения максимального размера полезного блока данных (Maximum Segment Size (MSS), для того чтобы найти максимально возможную величину пакета без его фрагментации на пути следования от передатчика к приемнику. Данный функционал уменьшает зависимость от своевременного получения ответов с ошибками по протоколу межсетевых управляющих сообщений (Internet Control Message Protocol (ICMP) и доступен в большинстве сетевых стеков устройств и клиентских операционных систем. К сожалению, он не так эффективен, как непосредственное получение данных о максимальном возможном размере передаваемых пакетов. Пожалуйста, позвольте этим сообщениям протокола ICMP возвращаться к источнику передачи, хорошо?

Превышение времени передачи пакетов

IPv4 – (Type11, Code0)
IPv6 – (Type3, Code0)

Traceroute — очень полезный инструмент для устранения неполадок в сетевых соединениях между двумя хостами, подробно описывающий каждый шаг пути.

Отправляет пакет с временем жизни пакета данных для протокола IP (Time to live (TTL) равным 1, чтобы первый маршрутизатор отправил сообщение с ошибкой (включая собственный IP-адрес) о превышении времени жизни пакета. Затем отправляет пакет с TTL 2 и так далее. Данная процедура необходима для того, чтобы обнаружить каждый узел на пути следования пакетов.

NDP and SLAAC (IPv6)

Router Solicitation (RS) (Type133, Code0)
Router Advertisement (RA) (Type134, Code0)
Neighbour Solicitation (NS) (Type135, Code0)
Neighbour Advertisement (NA) (Type136, Code0)
Redirect (Type137, Code0)

В то время как IPv4 использовал протокол разрешения адресов (ARP) для сопоставления 2 и 3 уровней сетевой модели OSI, IPv6 использует другой подход в виде протокола обнаружения соседей (NDP). NDP предоставляет множество функций, включая обнаружение маршрутизатора, обнаружение префикса, разрешение адреса и многое другое. В дополнение к NDP, Автоконфигурация (StateLess Address AutoConfiguration (SLAAC) позволяет динамически настраивать хост в сети, аналогично концепции протокола динамической настройки узла (Dynamic Host Configuration Protocol (DHCP) (хотя DHCPv6 предназначается для более тонкого управления).

Эти пять типов ICMP сообщений не должны блокироваться внутри вашей сети (не учитываем внешний периметр), чтобы протокол передачи данных IP функционировал правильно.

Нумерация типов ICMP

Протокол межсетевых управляющих сообщений (ICMP) содержит много сообщений, которые идентифицируются полем «тип».

Пара слов об ограничении скорости

Хотя ICMP-сообщения, подобные тем, которые описаны в статье, могут быть очень полезными, помните, что генерация всех этих сообщений занимает процессорное время на ваших маршрутизаторах и генерирует трафик. Вы действительно ожидаете, что вы получите 1000 пингов в секунду через ваш брандмауэр в обычной ситуации? Будет ли это считаться нормальным трафиком? Вероятно, нет. Ограничивайте пропускную способность сети для этих типов ICMP трафика, как вы считаете нужным; этот шаг может помочь вам в защите вашей сети.

Читать, исследовать и понимать

Учитывая, что обсуждение темы «блокировать или не блокировать» ICMP-пакетов, всегда приводит к путанице, спорам и разногласиям, предлагаю продолжить изучать эту тему самостоятельно. На этой странице привел много ссылок, считаю для более полного понимания проблематики следует потратить время на их чтение. И сделать осознанный выбор того, что лучше всего подходит для вашей сети.

MikroTik: куда нажать, чтобы заработало?
При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс «Настройка оборудования MikroTik». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.

Блокируем ICMP трафик с помощью IPSec | Для системного администратора

Блокируем ICMP трафик с помощью IPSec

Каким образом можно сконфигурировать компьютеры под управлением Windows 2000/XP/2003 на блокирование Ping пакетов? Windows 2000/XP/2003 имеет встроенный механизм безопастности IP, называемых IPSec (IP Security). IPSec это протокол разработанный для защиты индивидуальных TCP/IP пакетов при передачи их через сеть.

Однако мы не будем вдаваться в подробности функционирования и устройства IPsec, ибо помимо шифрования, IPSec может также защищать ваш сервер или рабочую станцию механизмом, похожим на файерволл.

Блокируем PING на одиночном компьютере

Для блокирования всех PING пакетов с компьютера и на него нам необходимо создать полититку IPSec, которая будет блокировать весь ICMP трафик. Для начала проверьте отвечает ли ваш компьютер на ICMP запросы:

Для настройки одиночного компьютера нам необходимо выполнить следующие шаги:

Сконфигурируем список IP Filter Lists и Filter Actions

1. Откройте окно MMC (Start > Run > MMC).
2. Добавьте оснастку IP Security and Policy Management.

3. Выберите какой компьютер будет управляться этой политикой – в нашем случае это локальный компьтер. Нажмите Close, потом нажмитеOk.

4. Правой кнопкой нажмите на IP Security Policies в левой половине консоле MMC. Выберите Manage IP Filter Lists and Filter Actions.

5. Вам не нужно настраивать или создавать IP фильтр для ICMP (протокол в котором работает PING), так как такой фильтр уже существует по умолчанию – All ICMP Traffic.

Однако вы можете сконфигурировать сколь угодно сложный IP фильтр, к примеру запретить пинговать ваш компьютер со всех IP, кроме нескольких определенных. В одной из следующих статей посвященных IPSec мы подробно рассмотрим создание IP фильтров, следите за обновлениями.

6. В окне Manage IP Filter Lists and Filter actions просмотрите ваши фильтры и если все в порядке нажмите на вкладку Manage Filter Actions. Теперь нам нужно добавить действие для фильтра, которое будет блокировать определенный трафик, нажмем Add.

7. В первом окне приветствия нажимаем Next.
8. В поле Filter Action Name вводим Block и нажимаем Next.

9. В Filter Action General Options выбираем Block, после чего жмем Next.

10. Вернитесь в окно Manage IP Filter Lists and Filter actions и просмотрите ваши фильтры и если все в порядке, нажмите Close. Вы можете добавить фильтры и действия для фильтров в любое время.

Следующим шагом будет конфигурирование политики IPSec и её применение.

Конфигурируем политику IPSe

1. В той же MMC консоле нажмите правой кнопкой по IP Security Policies и выберите Create IP Security Policy.

2. Пропустите приветствие мастера нажав Next.
3. В поле IP Security Policy Name введите соответствующее случаю имя, например “Block PING”. Нажмите Next

4. В окне Запросов безопасного соединения сними галочку с чекбокса Active the Default Response Rule. НажмитеNext

5. Отметьте чекбокс изменить свойства и нажмите Finish.

6. Нам нужно добавить IP фильтры и действия фильтров в новую политику IPSec. В окне новый политике IPSec нажмите Add

7. Нажмите Next.
8. В окне Tunnel Endpoint убедитесь что выбрано значение по умолчанию и нажмите Next.

9. В окне Network Type выберите All Network Connections и нажмите Next.

10. В списке IP фильтров выберите “All ICMP Traffic” (или любой другой IP фильтр сконфигурированный в шаге №5 в начале этой статьи). Если, по каким то причинам вы не сконфигурировали IP фильтр прежде, вы можете сделать это сейчас, нажав Add. Итак, отмечаем нужный фильтр и нажимаем Next.

11. В окне действия фильтра выбираем “Block”.

Применяем политику IPSec

1. В той же самой MMC консоли, нажмите правой кнопкой на новую политику и выберите Assign.

Все, политика работает, попробуйте пропинговать какой либо узел. В следующих статьях мы посмотрим что есть ещё в политиках IPSec, каким образом можно распространять политики на большое количество компьютеров.

Автор: Daniel Petri

Источник:
http://system-administrators.info/?p=3003

Запретить icmp трафик к своему vpn серверу

Адрес сервера в примере -123.123.123.123

С локального компьютера отправляем один пакет ICMP

PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.
64 bytes from 123.123.123.123: icmp_seq=1 ttl=53 time=75.7 ms

— 123.123.123.123 ping statistics —
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 75.787/75.787/75.787/0.000 ms

Потеря 0%, значит никаких запретов изначально нет.

Чтобы ограничить трафик требуется отредактировать правила iptables на сервере.

iptables -A INPUT -p icmp —icmp-type 8 -s 0/0 -d 123.123.123.123 -m state —state NEW,ESTABLISHED,RELATED -j DROP

В качестве действия указываем DROP

# Generated by iptables-save v1.6.0 on Fri Aug 31 06:48:58 2018
*filter
:INPUT ACCEPT [7:488]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:680]
-A INPUT -d 123.123.123.123/32 -p icmp -m icmp —icmp-type 8 -m state —state NEW,RELATED,ESTABLISHED -j DROP
COMMIT

Вновь проверяем с локального компьютера

PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.

— 123.123.123.123 ping statistics —
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Потери 100%, входящие ICMP пакеты будут отбрасываться во всех случаях.

Стоит отметить, что ICMP пакеты могут быть двух типов:

0 — echo-reply

8 — echo-request

В примере заблокированы только те, которые относятся к типу echo-request

Запретить исходящий ICMP трафик с сервера можно так

iptables -A OUTPUT -p icmp —icmp-type 8 -j DROP

Чтобы правила сохранились после перезагрузки сервера можно установить дополнительно пакет iptables-persistent

Поиск

Последние статьи

Рубрики

• Apache (20)
• AWS (10)
• Bash (13)
• CRON (5)
• CSS / изображения (6)
• DNS (8)
• ELK (1)
• FastCGI (4)
• JS (6)
• Memcached (1)
• MongoDB (3)
• MySQL (52)
• Networking (44)
• Nginx (39)
• NodeJS (1)
• PHP (13)
• Python (28)
• Ruby (6)
• Search (1)
• Uncategorized (1)
• Virtualization / Containers (27)
• Базы данных (12)
• Безопасность (25)
• Высокие нагрузки (23)
• Контроль версий (14)
• Мониторинг (17)
• Обзоры сервисов (23)
• Оптимизация (1)
• Ошибки (24)
• Почтовые серверы (10)
• Работа сайтов (17)
• Распределенные системы (8)
• Телефония (10)
• Типовые задачи (57)
• Ядро и ОС (23)

Подключить мониторинг

Уведомления позволят узнать о проблемах на вашем сайте вперед клиентов

Доброго времени суток Господа.
читая хабру, https://habrahabr.ru/post/263557/
Возник вопрос о доведение vpn сервера до ума.
Знаний особых не имею. по этому и обращаюсь с таким вопросам

Контекст таков
Определение туннеля (двусторонний пинг)
Запустив пинг к клиентскому IP, со стороны нашего сервера, можно узнать приблизительную длинну маршрута. То же самое можно сделать со стороны браузера, XMLHTTPRequest дёргает пустую страницу нашего nginx. Полученную разницу в петле более 30 мс можно интерпретировать как туннель.

Конечно маршруты туда и обратно могут различаться, или веб сервер чуть притомозит, но в целом точность получается довольно хорошая.

Единственный способ защититься — запретить ICMP трафик к своему VPN серверу.

Тут иметься ввиду, надо на моей машине ограничить доступ к протоколу ICMP.?
Если я все правильно понял, то как мне это сделать? на маке.
На шиндоусе нашел решения а как на маке то. =((

• Вопрос задан более трёх лет назад
• 9741 просмотр

Вот ответ как это делается на OSX
superuser.com/questions/505128/deny-access-to-a-port-from-localhost-on-osx

Ничем особо не отличается от других никсовых систем.

ПС: кроме того по моему мнению вы подходите к решению вопроса не с той стороны. Запрещать icmp нужно на стороне сервера.

точно так же. Это первый вариант. И в никсах и в виндовс есть эти файлы и принцип их работы одинаков. В Виндовс они правда находятся немного в разных местах от версии к версии, но в основном все в производной от %Windows%/system32/*.

Второй вариант настройкой iptables, если сервер на никовой системе.

Ping — очень полезная стандартная утилита, которая используется для проверки связи между компьютерами . Ее можно найти встроенной в Windows начиная с версии Windows 95 и до текущей Windows 10 и даже в других операционных системах, таких как Linux и Mac OS. Обычно, когда существует проблема с подключением к компьютеру, первое, что должен сделать администратор или технический специалист, — это запустить ping-тест между компьютерами и посмотреть, есть ли ответ. Если ответ на пинг есть, значит проблема не связана с сетевым подключением.

Насколько бы эта возможность не была бы полезной, хакеры также могут использовать пинг для сканирования подсети, чтобы найти потенциальные компьютеры, которые легко взломать из-за неправильной настройки параметров безопасности, или загрузить ваши файлы из папок, к которым открыт общий доступ без проверки подлинности . Вот почему существуют ситуации, когда нет необходимости отвечать на запросы пинга, например, когда вы подключены к общедоступной сети Wi-Fi. Даже более новые операционные системы Windows достаточно умны, чтобы блокировать пинг-запросы, если вы выбрали сетевое местоположение в качестве общедоступной сети.

Если вы хотите отключить или включить запросы ping, вы попали в нужное место.

Прежде всего, вам необходимо определить, хотите ли вы включить или отключить пинг-ответ во внутренней или внешней сети. Для запроса внешнего пинга вам необходимо настроить маршрутизатор, а не компьютер. Чтобы узнать, может ли внешний источник пропинговать ваш IP-адрес, посетите ping.eu. нажмите на свой IP-адрес, который отображается на веб-странице, и нажмите кнопку «Перейти». Если вы видите 100% потерю пакетов, это означает, что ваш маршрутизатор / сеть уже защищены от внешнего пинга. Однако, если ping.eu показывает результат, как на скриншоте ниже, это означает, что ваш маршрутизатор / сеть отвечает на запросы ping.

Возможно, вы захотите обратиться к руководству вашего маршрутизатора, чтобы получить доступ к конфигурации вашего маршрутизатора и проверить настройки брандмауэра. Ниже приведен скриншот настроек маршрутизатора Belkin ADSL, которые можно настроить для блокировки пинга. Некоторые маршрутизаторы имеют очень простую настройку, как блокировать пинг WAN, в то время как некоторые могут быть довольно сложными в настройке для начинающего пользователя.

Чтобы включить или отключить пинг-ответы для вашего компьютера или ноутбука во внутренней сети (например, когда вы подключены к общедоступному Wi-Fi), вы должны выполнить некоторые настройки Windows, либо использовать стороннее программное обеспечение брандмауэра.

Как разрешить или отключить и запретить ответ пинг на Windows

ZoneAlarm Free Firewall

Для ZoneAlarm Free Firewall в программном обеспечении есть только две зоны: Public и Trusted. Зоны в ZoneAlarm выбираются автоматически в зависимости от профиля сетевого расположения в Windows. Например, если вы выбрали «Домашняя сеть» в качестве сетевого расположения для подключения к Wi-Fi, ZoneAlarm автоматически устанавливает зону как «Trusted» и наоборот.

Если ваш компьютер отвечает на запросы ping, отключить ответ ping так же просто, как изменить зону с Trusted на Public ZoneAlarm. Запустите ZoneAlarm, перейдите на вкладку FIREWALL и нажмите View Zones в Basic Firewall.

На вкладке View Zones выберите сеть, к которой вы подключены, и нажмите кнопку Edit . Нажмите на выпадающее меню для зоны и выберите Public .

Если вы хотите снова включить пинг-ответ, установите для зоны сети значение «Trusted».

Emsisoft Online Armor Free

Emsisoft Online Armor Free автоматически отключит пинг-ответ, и у вас не будет способа настроить правила брандмауэра для повторного включения пинга. В отличие от платной версии, где вы можете переключиться в расширенный режим для настройки правил ICMP, бесплатная версия не позволяет переключаться в расширенный режим, а только в стандартный режим. Так что, если вы используете бесплатную версию Online Armor, то вы можете временно отключить защиту Брандмауэра, щелкнув правой кнопкой мыши значок Online Armor в трее и выбрать Брандмауэр, чтобы снять флажок.

Comodo Free Firewall

Comodo автоматически решает, следует ли разрешать или запрещать пинг в зависимости от зоны сети, которую вы выбрали для подключенной сети.

Если вы выбрали Home или Work, то пинг разрешен. Однако зона сети Public Place блокирует все пинг-запросы. Если вы выбрали Public Place и хотите включить запросы ping, вы можете вручную настроить глобальные правила, чтобы разрешить ping вместо блокировки.

Щелкните правой кнопкой мыши значок Comodo Firewall, расположенный в области уведомлений, и выберите Advanced View. Снова щелкните правой кнопкой мыши значок Comodo Firewall в трее, перейдите в Firewall и выберите « Настройки» . Разверните Настройки безопасности > Брандмауэр и выберите Глобальные правила . Дважды щелкните правило, которое гласит: «Block ICMPv4 In From MAC Any To MAC Any Where ICMP Message Is ECHO REQUEST”», и измените действие с «Блокировать на Разрешить» . Нажмите кнопку ОК, чтобы закрыть окно правил брандмауэра, и снова нажмите кнопку ОК, чтобы сохранить изменения.

Кроме того, вы также можете временно отключить брандмауэр на панели задач, чтобы разрешить ответы Ping. Не выходите и не завершайте программу, потому что брандмауэр все еще будет активен, даже если значок в области уведомлений не отображается в области уведомлений.

С другой стороны, если вы находитесь в зоне домашней или рабочей сети, где разрешены запросы ping, и вы хотите отключить ответы ping, вам просто нужно переместить правило брандмауэра, расположенное внизу, которое блокирует все эхо-запросы ICMP вплоть до верхний, так чтобы он переопределил первых два правила, которые разрешают все входящие и исходящие запросы.

Как отключить и запретить ответ пинг в Брандмауэр Windows 10

На самом деле нет необходимости полагаться на стороннее программное обеспечение брандмауэра для включения или отключения пинг-ответов, поскольку для этого можно настроить брандмауэр Windows.

• Нажмите клавишу WIN, и в поиске введите WINDOWS FIREWALL и запустите.
• Нажмите на Дополнительные параметры, расположенные на левой боковой панели.
• Нажмите на «Правила для входящих подключений» на левой панели.
• Нажмите « Действие» в строке справаи выберите « Создать правило» .
• Нажмите на Настраиваемое и нажмите далее.
• Убедитесь, что выбран вариант «Все программы», и нажмите «Далее».
• Щелкните раскрывающееся меню «Тип протокола», выберите ICMPv4 и нажмите «Далее».
• Убедитесь, что выбран « юбой IP-адрес», и нажмите «Далее».
• Если вы хотите включить ping при подключении к общедоступной сети, выберите «Разрешить подключение». Если вы хотите заблокировать пинг, даже если вы подключены к домашней сети, выберите опцию «Блокировать соединение» и нажмите «Далее».
• Вы можете оставить все флажки для профилей и нажать Далее.
• Дайте этому новому правилу любое имя, которое вам нравится и нажмите готово. Вновь созданное правило брандмауэра вступит в силу немедленно, не требуя перезагрузки.

Тестируем настройки браузера на анонимность с использованием прокси-сервера

Настройки браузера, на примере Mozilla Firefox, помогут скрыть факт использования прокси-сервера и максимально обеспечить анонимность в сети. Также, идентифицирующие вас данные в User agent не просто скрываются, а подменяются на наиболее используемые пользователями, что позволяет «раствориться» среди многих.

Конечно, легче использовать браузер Tor, где, даже, настройки по умолчанию обеспечивают хорошую анонимность, но некоторые сайты просто
блокируют доступ по этой сети. И если вы еще не разобрались, как скрыть использование сети Tor, или подобных анонимных сетей, то стоит
попробовать воспользоваться прокси-сервером.

На странице одного из популярных сервисов, в онлайн-базе прокси-листов, выбрал прокси HTTP, HTTPS с высокой степенью анонимности 145.249.106.107 Netherlands Amsterdam.

Тест проверки анонимности на сервисе 2ip.ru, я уже делал в предыдущей статье О чем расскажет ваш браузер, теперь посмотрим результаты с использованием прокси-сервера.

Непонятно почему в шапке показало Казахстан, но в колонке разницы во временных зонах браузера и IP, Amsterdam указан правильно.

Утечка IP через WebRTC. Как видим, использование прокси-сервера, даже с заявленной высокой степенью анонимности, не скрыло реальный (внутренний) IP-адрес компьютера. Для тех, кто не в теме, с внутренними адресами нельзя соединится из интернета, они работают только в пределах локальной сети.

К приватным «серым» IP-адресам относятся адреса из следующих подсетей:

от 10.0.0.0       до 10.255.255.255     с маской 255.0.0.0 или /8;
от 172.16.0.0   до 172.31.255.255     с маской 255.240.0.0 или /12;
от 192.168.0.0 до 192.168.255.255   с маской 255.255.0.0 или /16;
от 100.64.0.0 до 100.127.255.255 с маской подсети 255.192.0.0 или /10. Данная подсеть рекомендована согласно rfc6598 для использования в качестве адресов для CGN (Carrier-Grade NAT).

Напрямую доступ к внешней сети, используя внутренний IP-адрес, невозможен, но как вариант, связь с интернетом осуществляется через механизм NAT, где трансляция сетевых адресов заменяет частный IP на публичный. Если интернет-провайдер предоставил локальный IP, то будет проблематично настроить удаленное управление компьютером и скажем, видеонаблюдением, при использовании компьютера.

Что касается безопасности, то использование «серого» IP-адреса более безопасно, чем использование «белого» IP, так как «серые» не видны напрямую в интернете и находятся за NAT, который обеспечивает безопасность домашней сети.

Конечно, внешний IP не определился, но какой от этого толк, если внутренний сливается. Для целей идентификации, даже показательней будет локальный IP, чем публичный, на который провайдер может повесить множество пользователей.

Для устранения утечки настоящего IP адреса через WebRTC, в адресной строке браузера Firefox введите «about:config», найдите
«media.peerconnection.enabled» и дважды кликните для установки значения «false».

Устранение разницы во временных зонах браузера и IP-адреса прокси-сервера. Также, мы видим прокол в разнице во временных зонах браузера компьютера и местонахождения прокси-сервера. Переводим системное время программой настройки времени в Ubuntu, в Меню приложений — Система, или соответствующей в другой операционке.

Для внесения изменений необходимо разблокировать программу, нажав Unlock и введя пароль администратора. Зная место расположения прокси-сервера, меняем часовой пояс.

Определение туннеля (двусторонний пинг). Не знаю по какой причине, но туннель методом пинга перестал определяться после двух предыдущих настроек.

Если коротко, то запущенный пинг от посещаемого сайта, показывает приблизительную длину маршрута. То же самое можно сделать со стороны
браузера. Полученная разница в петле более 30 мс. указывает на туннель. Маршруты туда и обратно могут различаться, но в целом, точность
получается довольно хорошая. Как вариант защиты — запретить ICMP трафик к своему VPN серверу. Следует заметить, результат теста на двусторонний пинг может то показывать наличие туннеля, то нет, это по опыту.

Как видим, настройки браузера позволили поменять IP-адрес и скрыть факт использования прокси-сервера, но данные, которые отправляет браузер о вашем компьютере, по-прежнему те-же.

Отключение методов слежения в браузере. Что бы уменьшить вероятность идентификации, даже, если вы сменили IP-адрес, желательно максимально скрыть передаваемую браузером информацию.

Shockwave Flash. Новый профиль в Firefox создается с двумя предустановленными плагинами Openh364 Video Codec и Shockwave Flash. Не заметил, на что влияет первый плагин, но Flash, в том числе настроенный на «Включать по запросу», отдает факт своего присутствия и свою версию. Только после выключения плагина, он становится невидимым для отслеживания.

JavaScript. Отдельно можно остановиться на JavaScript, который выключается параметром «javascript.enabled» в настройках about:config. Настраивать JavaScript удобно с помощью плагина NoScript. Наличие и версия JavaScript тоже отслеживается, но данный функционал работает почти во всех браузерах и его отключение, наоборот, сделает ваш браузер индивидуальней.

User agent. Наиболее идентифицирующая вас информация, передается в строке кода User agent, с данными типа браузера и операционной системы. В разделе about:config, если вбить в строку поиска «useragent», отфильтруются соответствующие строки настроек. Далее, создается параметр general.useragent.override. Выберите тип создаваемого параметра «Строка» и в новом окне впишите нужное значение user agent. Список наиболее используемых конфигураций user agent смотрите, например, здесь или здесь. Работает ли данный параметр лично не проверял, так как популярные user agent есть в плагине User-Agent Switcher, где быстро и легко переключаются между собой или корректируются.

Сервис на странице 2ip.ru/browser-info/ показал, какие пункты слежения были изменены в браузере, благодаря вышеперечисленным действиям. Изначальную конфигурацию смотрите все в той же предыдущей статье.

Таким образом, можно подменить идентифицирующую вас информацию и скрыть факт использования прокси-сервера через настройки браузера, и максимально обеспечить анонимность в сети.

Маскировка UDP трафика в TCP/ICMP при помощи udp2raw / Блог компании Pentestit / Хабр

В данной статье речь пойдет про утилиту udp2raw, которая позволяет обходить межсетевые экраны, настроенные на блокировку протокола UDP, используя RAW сокеты, а также туннелировать любые другие протоколы при работе в связке с OpenVPN.

Обзор возможностей

→ Официальный сайт инструмента

На нем же представлена схема работы утилиты

Их схемы становится ясно, что инструмент состоит из клиента и сервера, причем второй требуется разместить за межсетевым экраном. Другие утилиты для туннелирования трафика, как правило, требуют то же самое, например, reGeorg, работа которой описана в другой моей статье на defcon.ru.

Один сервер может обслуживать одновременно несколько клиентов, а один клиент несколько UDP соединений через один RAW сокет.

Вы можете использовать udp2raw как для Linux (включая Android, OpenWRT, Raspberry PI) с правами root, так и для Windows и MacOS, правда, в довольно специфическом виде — в виде образа виртуальной машины. Но образ виртуальной машины занимает всего 4.4 МБ, так что это вполне применимо.

В базовом виде udp2raw может добавлять фейковые ICMP/TCP заголовки к сетевым пакетам, тем самым заставляя межсетевой экран считать их пакетами соответствующих сетевых протоколов, а не UDP.

В режиме FakeTCP, udp2raw симулируем трехсторонний TCP handshake при установке соединения и затем поддерживает корректную установку SYN/ACK флагов непосредственно при передаче данных.

udp2raw может использоваться и как вспомогательный инструмент для стабилизации соединения, защиты от replay атаки (anti-replay window) или просто для шифрования трафика (AES-128-CBC) в режиме обычного UDP туннеля. В этом случае фейковые ICMP/TCP заголовки к пакетам добавляться не будут.

Так же возможно использование udp2raw в связке с OpenVPN, что позволяет использовать udp2raw для туннелирования не только UDP трафика. Схема работы представлена ниже

Для конкретно этого случая есть отдельная несложная инструкция на гитхабе разработчика.

Практический пример

Для начала работы с udp2raw в Linux скачиваем архив с github

wget https://github.com/wangyu-/udp2raw-tunnel/releases/download/20170826.0/udp2raw_binaries.tar.gz

и распаковываем

root@kalix64:~/tunneling/udp2raw# tar -xvzf udp2raw_binaries.tar.gz 
udp2raw_amd64
udp2raw_mips34kc
udp2raw_arm
udp2raw_amd64_hw_aes
udp2raw_arm_asm_aes
udp2raw_mips34kc_asm_aes
udp2raw_x86
udp2raw_x86_asm_aes

Клиент и сервер представляют из себя одно и то же приложение. Различаться будут только ключи при запуске

usage:
run as client : ./this_program -c -l local_listen_ip:local_port -r server_ip:server_port  [options]
run as server : ./this_program -s -l server_listen_ip:server_port -r remote_ip:remote_port  [options]

Предположим, что в сети есть Windows машина с активированным SNMP сервисом и шлюз, блокирующий UDP пакеты, но разрешающий TCP доступ к Windows машине.

Злоумышленнику удалось получить доступ со своей Kali Linux машины к шлюзу и разместить там udp2raw сервер. Если злоумышленник попытается напрямую подключиться к Windows машине на UDP порт 161, то ничего не выйдет.

Тогда он может воспользоваться udp2raw, чтобы спрятать природу SNMP пакетов от межсетевого экрана, запустив на шлюзе

./udp2raw_amd64 -s -l 0.0.0.0:5555 -r 192.168.2.2:161  -a -k "snmptunnel" --raw-mode faketcp

И на Kali машине

./udp2raw_amd64 -c -l 0.0.0.0:4444  -r 192.168.1.5:5555 -a -k "snmptunnel" --raw-mode faketcp

Теперь злоумышленник может получать доступ к SNMP сервису удаленной машины через зашифрованный туннель так

При этом в Wireshark будет виден только TCP трафик

Если использовать ICMP заголовки, то в Wireshark мы увидим следующее

Если проверить трафик на стороне шлюза, то будет видно, что Windows машине отсылаются самые обыкновенные SNMP UDP пакеты

В заключении

Дополнительно можно ускорить работу туннеля, используя kcptun, а так же ознакомиться с другими инструментами для туннелирования трафика: reGeorg, dnscat2, icmptunnel и другими.

В случае использования udp2raw злоумышленником, подобные аномалии в корпоративной сети могут быть обнаружены при помощи IDS, IPS и DPI систем обеспечения сетевой безопасности.

Как отключить межсетевой экран с помощью ноутбука и ICMP / Блог компании Positive Technologies / Хабр

Для проведения DoS-атак не всегда требуются масштабные ботнеты. Исследователи информационной безопасности описали атаку BlackNurse, в ходе которой с помощью одного ноутбука можно отключить межсетевые экраны популярных производителей.

В чем проблема

Датские исследователи из отдела SOC (Security Operations Center) телеком-оператора TDC описали атаку BlackNurse, для осуществления которой используется особенность обработки ICMP-запросов популярными файрволлами.

В тексте опубликованного исследования авторы пишут, что столкнулись с проблемой при разработке собственного решения по борьбе с DoS — в некоторых случаях, несмотря на небольшой объём входящего трафика и малого числа принимаемых пакетов, общая скорость работы сети замедлялась. Эффект наблюдался даже для крупных корпоративных клиентов, обладающих каналами с большой пропускной способностью и использующих дорогостоящее оборудование известных вендоров.

В ходе атаки используются сообщения ICMP Type 3 “unreachable” — в частности, сообщение ICMP Type 3 Code 3 “port unreachable”. С их помощью можно перегрузить процессор межсетевого экрана, что приводит к отказу в обслуживании. Согласно данным эксперимента, с помощью одного ноутбука подобным методом можно осуществить атаку мощностью 180 Мбит/с.

В публикации экспертов TDC не говорится о том, почему эти пакеты потребляют так много процессорного времени межсетевых экранов, однако ИБ-эксперт SANS Technology Institute Ханс Ульрих предположил, что дело может быть в попытке файрволла провести stateful-анализ пакетов, которая требует большого количества ресурсов.

«На разных межсетевых экранах нагрузка увеличивалась в любом случае. В процессе осуществления атаки пользователи LAN, находящейся за файрволом, теряли возможность отправки и получения трафика в и из интернета, после прекращения атаки работоспособность восстанавливалась», — пишут исследователи в своем документе.

По данным экспертов TDC, уязвимы следующие продукты:

• Cisco ASA 5506, 5515, 5525 (при использовании стандартных настроек)
• Cisco ASA 5550 (legacy) and 5515-X (последнее поколение)
• Cisco Router 897 (атаку можно отразить)
• SonicWall (проблема решается изменением стандартной конфигурации)
• некоторые Palo Alto
• Zyxel NWA3560-N (беспроводная атака со стороны LAN)
• Zyxel Zywall USG50

Межсетевые экраны, работающие через iptables не подвержены атаке.

Как защититься

Узнать, уязвима ли конкретная система, можно разрешив ICMP на стороне WAN межсетевого экрана и осуществить тест с помощью Hping3, одновременно попробовав осуществить подключение к интернету из сети. Можно использовать следующие команды hping3:

hping3 -1 -C 3 -K 3 -i u20 <target ip>
hping3 -1 -C 3 -K 3 --flood <target ip>

Исследователи также представили правило SNORT IDS для детектирования атаки BlackNurse:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurseattack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC –Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

Для минимизации рисков могут быть использованы различные способы. В частности, эксперты рекомендуют настроить на межсетевом экране список доверенных ресурсов, от которых принимаются ICMP-пакеты. Кроме того, имеет смысл отключить ICMP Type 3 Code 3 на стороне WAN.

Затруднить проведение кибератак, предотвратить масштабные утечки и смягчить последствия инцидентов информационной безопасности можно с помощью использования специализированных средств защиты — например, при помощи нового программно-аппаратного комплекса MaxPatrol SIEM.

С помощью MaxPatrol SIEM можно анализировать данные, полученные с МЭ, IPS\IDS систем или собранные собственным агентом Network Sensor — это позволяет вовремя обнаруживать и сигнализировать об атаках вроде BlackNurse. При этом, качественное внедрение SIEM позволяет добиться того, что один раз описав логику обаружения конкретной атаки, система сможет выявлять все атаки данного класса, как снаружи периметра, так и внутри на зачастую крайне сложных иерархически гетерогенных инфраструктурах.

Узнать о теории и практике внедрения и эксплуатации SIEM-систем на примере MaxPatrol можно будет 17 ноября в 14:00 на бесплатном вебинаре Владимира Бенгина, руководителя отдела поддержки продаж SIEM.

Зарегистрироваться для участия в вебинаре можно здесь

Что такое отслеживание интернет-провайдеров (и как его заблокировать)?

Что такое отслеживание интернет-провайдеров?

Отслеживание интернет-провайдеров — это практика, с помощью которой провайдеры записывают информацию о ваших онлайн-соединениях и действиях. Это означает, что все, от вашей истории поиска до ваших электронных писем, отслеживается и регистрируется вашим интернет-провайдером.

Это не должно вызывать удивления, учитывая, что вся ваша интернет-активность осуществляется через вашего интернет-провайдера, поэтому вам очень сложно что-либо скрыть от них.Интернет-провайдеры могут регистрировать данные о подключении вне зависимости от того, используете ли вы домашний компьютер, игровую консоль или мобильное устройство.

Почему ваш провайдер отслеживает вас?

Есть 4 основные причины, по которым интернет-провайдеры делают это:

1. Хранение данных

Во многих частях мира интернет-провайдеры по закону обязаны хранить данные своих клиентов в Интернете в течение определенного периода времени. Это должно дать правительственным службам безопасности доступ к информации, если она понадобится в расследовании.

Хотя это важно, когда мы рассматриваем такие вещи, как борьба с терроризмом и предотвращение / раскрытие преступлений, это также означает, что многие журналисты или информаторы не могут сохранить свою анонимность.

Более того, не всегда можно ожидать, что государственные органы надзора будут действовать этично. Печальная реальность заключается в том, что в эпоху беспрецедентного глобального наблюдения весьма вероятно, что за многими обычными гражданами наблюдают без уважительной причины.

В конце концов, утечка секретных файлов Эдварда Сноудена показала масштабы правительственной слежки во всем мире.АНБ, работая с правительствами по всему миру, проводит массовую слежку за гражданами в США и за их пределами. Они использовали несколько способов доступа к частным интернет-данным миллионов людей, но одним из их ключевых методов был запрос информации непосредственно у интернет-провайдеров.

2. Продажа данных

Интернет-провайдеров могут получить большую прибыль, продавая собранные ими данные рекламным компаниям. Затем эти компании могут использовать сложные алгоритмы и таргетированную рекламу, чтобы провести тщательный анализ ваших покупательских привычек и привычек просмотра Интернета, чтобы найти более эффективные, но очень навязчивые способы продвижения на ваш рынок.

Хотя это звучит крайне незаконно, в некоторых странах это «приемлемая» практика. В США, например, интернет-провайдеры получили разрешение на продажу пользовательских данных рекламодателям, когда Конгресс отменил меры защиты конфиденциальности FCC в области широкополосного доступа. Хотя это может быть запрещено в других странах, нет гарантии, что интернет-провайдеры не будут закулисно заключать сделки с рекламодателями, о которых мы не знаем.

3. Регулирование полосы пропускания

Хотя не все интернет-провайдеры делают это, некоторые из них могут полагаться на данные пользовательского подключения для принудительного регулирования полосы пропускания — преднамеренного снижения скорости пользователя.

Они могут утверждать, что делают это, чтобы уменьшить перегрузку сети и предложить более качественные услуги, но правда в том, что большинство интернет-провайдеров используют дросселирование полосы пропускания как способ «убедить» пользователей либо перейти на более дорогую подписку, либо просто заплатить за более крупную и более дорогую подписку. тарифный план.

4. Мониторинг P2P

Совместное использование файлов разрешено не во всех странах, и в местах со строгими законами об авторском праве интернет-провайдеры должны отслеживать подключения своих пользователей, чтобы убедиться, что они не используют торренты.

Если они поймают вас за загрузкой торрентов, они, скорее всего, отправят вам предупреждение. Это лучший сценарий, поскольку есть вероятность, что ваш интернет-провайдер может передать ваши данные агентствам по авторскому праву, которые затем засыпают вас уведомлениями DMCA. Хуже того, они могут заставить вас заплатить огромные штрафы или тоже попасть в суд.

В качестве четкого отказа от ответственности мы здесь, в CactusVPN, не поощряем незаконное пиратство и нарушение авторских прав. Однако мы понимаем, что для многих людей во всем мире торрент — это единственный способ получить доступ к различным файлам, которые им нужны — будь то для работы или учебы.

Почему вам должно быть все равно?

Это довольно очевидно — ваша конфиденциальность находится под угрозой. Все, что вы делаете в Интернете, находится между вами и вашим браузером — всегда есть кто-то, кто следит за происходящим. Помимо того, что это просто серьезное вторжение в вашу частную жизнь, это еще и довольно жуткое ощущение, не так ли?

Не говоря уже о том, что вас начнут засыпать «персонализированной» рекламой.

Может быть, некоторые из вас не возражают против этого, но вы должны согласиться с тем, что рекламодатели считают, что ваше поведение в Интернете просто неправильно.Более того, если вы загружаете торренты, у вас могут возникнуть проблемы с законом, а если вы часами играете, скачиваете или транслируете потоковую передачу, ваша пропускная способность может быть ограничена.

Кроме того, всякий раз, когда вы путешествуете за границу и используете Интернет через сети Wi-Fi вместо вашего собственного тарифного плана, иностранные интернет-провайдеры также получат доступ к вашим личным данным. Да, это в значительной степени означает, что если вы отдыхаете в США и используете там Wi-Fi, ваша личная информация будет зарегистрирована одним из их интернет-провайдеров и продана тому, кто предложит самую высокую цену.

Какие данные может видеть ваш провайдер?

Весь ваш интернет-трафик проходит через вашего интернет-провайдера, что означает, что они могут видеть практически все, что вы делаете в сети, особенно если веб-сайты, к которым вы обращаетесь, не зашифрованы (используйте HTTP вместо HTTPS).

Вот список того, что может видеть ваш провайдер:

• Ваш поиск в Интернете
• Незашифрованные разговоры по электронной почте
• Данные социальных сетей
• Пароли и информация формы, которую вы ввели на незашифрованном веб-сайте
• Какие веб-сайты вы посещаете
• Любые файлы / торренты, которые вы загружаете
• Транзакции с криптовалютой
• Ваше местоположение -Расположение при использовании мобильного устройства

Как скрыть свою онлайн-активность от вашего интернет-провайдера

Лучший способ остановить отслеживание интернет-провайдеров — зашифровать ваш интернет-трафик.Таким образом, когда интернет-провайдер пытается отслеживать ваши действия в Интернете, он будет видеть только чушь. Они будут знать, что вы используете шифрование, но ничего больше.

Для этого вы можете использовать Tor (луковый маршрутизатор) или VPN (виртуальную частную сеть).

Использование VPN

VPN — это услуга, которую вы можете использовать для полного шифрования вашего онлайн-трафика. По сути, трафик между вашим устройством и VPN-сервером полностью защищен, и никто не может следить за ним.

Более того, VPN скрывает ваш реальный IP-адрес и заменяет его собственными адресами серверов.Хотя ваш интернет-провайдер знает ваш настоящий IP-адрес (в конце концов, они назначают его вам), это гарантирует, что он не сможет связать его с вашими действиями в Интернете.

Ищете надежную VPN для защиты вашей конфиденциальности?

CactusVPN справляется с этой задачей — мы используем высококачественное шифрование AES, чтобы никто (кроме вашего интернет-провайдера, правительственных служб наблюдения или киберпреступников) не мог злоупотребить вашими личными данными. Вдобавок к этому мы также оснастили наши высокоскоростные серверы технологией общего IP, чтобы никто не смог связать ваши действия в сети с вашим географическим местоположением.

Кроме того, мы сами не храним какие-либо данные о ваших подключениях, поскольку у нас есть политика отсутствия журналов, а в нашей службе также есть Killswitch, чтобы гарантировать, что вы никогда не окажетесь под угрозой, даже если у вас возникнут проблемы с подключением.

Специальное предложение! Получите CactusVPN за 2,7 доллара в месяц!

И как только вы станете клиентом CactusVPN, у нас будет 30-дневная гарантия возврата денег.

Сохранить 72% сейчас

Использование Tor

Tor — это анонимная сеть, которая шифрует ваш интернет-трафик, передавая его между несколькими ретрансляторами.Хотя он относительно прост в использовании и бесплатен, проблема в том, что ваш интернет-трафик не всегда зашифрован на 100%.

Почему? Поскольку выходной ретранслятор — последний ретранслятор, через который проходит ваш трафик, прежде чем достигнет пункта назначения, — не использует шифрование. Это означает, что человек, управляющий ретранслятором, и его провайдер могут видеть ваш онлайн-трафик.

Заключение

Отслеживание

ISP может иметь некоторые допустимые применения, но — в конце концов — это просто серьезное нарушение вашей конфиденциальности.Знание, что за тем, что вы делаете в Интернете, всегда кто-то следит, никоим образом не утешает.

К счастью, использование VPN может помочь вам дать отпор и сохранить некоторые ваши права на конфиденциальность, за счет шифрования вашего интернет-трафика, чтобы сделать его нечитаемым для интернет-провайдеров и кого-либо еще.

.

Устранение неполадок клиентской VPN — Cisco Meraki

Разрешение имен NetBIOS через Client VPN

Хосты

Windows используют разрешение имен на основе NetBIOS для определения местоположения общих файлов и принтеров Windows, расположенных на других хостах Windows. Синтаксис имени NetBIOS отображается как «MYCOMPUTER» и обычно встречается в путях UNC, таких как \\ MYCOMPUTER \ myfileshare \.

Разрешение имен NetBIOS — это протокол обнаружения имен на основе широковещательной рассылки 2. Широковещательные сообщения уровня 2 не пересекают границы уровня 3, такие как клиентский VPN-интерфейс на MX.

WINS — это служба, которая обеспечивает централизованное разрешение имен хостов NetBIOS. Клиенты NetBIOS регистрируют свои имена хостов на сервере WINS, а другие клиенты NetBIOS запрашивают сервер WINS для разрешения имен NetBIOS.

Чтобы разрешить узлам, использующим имена NetBIOS, находить сетевые ресурсы через Client VPN, укажите IP-адрес WINS-сервера в конфигурации Client VPN. Это делается с помощью параметра WINS на странице Security & SD-WAN> Configure> Client VPN .

На скриншоте ниже указан WINS-сервер 192.168.1.100:

Дополнительные проверки

Конечные пользователи могут сообщить, что они не могут сопоставить сетевые ресурсы через туннель Client VPN. Это могло быть потенциально вызвано правилом брандмауэра уровня 7, настроенным на блокировку совместного использования файлов. Проверьте правила брандмауэра уровня 7 в разделе Устройство безопасности> Настроить> Брандмауэр> Уровень 7 .

Также проверьте все групповые политики, применяемые к целевому ресурсу, чтобы убедиться, что совместное использование файлов не заблокировано в групповой политике.

Максимальное количество сеансов на учетную запись пользователя

В целях безопасности мы ограничиваем учетную запись каждого пользователя до пяти (5) одновременных VPN-подключений к MX. Если вам нужно изменить этот номер, обратитесь в службу поддержки Cisco Meraki.

Устранение неполадок клиентской VPN с помощью захвата пакетов

Проблемы с VPN-подключением клиента

можно эффективно устранить с помощью перехвата пакетов. В этом разделе будут обсуждены передовые практики и ожидаемое поведение с точки зрения того, что можно увидеть при захвате пакетов, и объяснены общие шаги по устранению неполадок.

Процесс переговоров

Для любого клиентского VPN-подключения следует выполнить описанный выше процесс. Если в какой-то момент процесс прерывается, на каждом этапе нужно искать определенные вещи. Для начала возьмите захват пакета WAN (в основном WAN) и следуйте инструкциям ниже.

Общие сведения о захвате пакетов WAN

Отфильтруйте pcap WAN для общедоступного IP-адреса клиента (и, если необходимо, ISAKMP / ESP. Найдите поле ISAKMP « Next payload », которое определяет этап согласования.Начните с первой «ассоциации безопасности» от клиента.

Советы по устранению неисправностей

Если от клиента нет трафика ISAMKP:

• Убедитесь, что клиент подключается к основному IP-адресу MX WAN (VIP для горячего резерва)

• Убедитесь, что входящий трафик UDP 500 не блокируется / не отбрасывается в восходящем направлении

• Если MX находится за NAT, возможно, потребуется настроить переадресацию портов на восходящем устройстве для портов UDP 500 и 4500

• Некоторые особенности поведения ОС могут препятствовать генерации трафика клиентским компьютером.Попробуйте исключить, протестировав другой тип устройства (например, другую ОС или смартфон)

ISAKMP, фаза 1

1. Ассоциация безопасности

Инициатор отправляет сопоставление безопасности, а ответчик отправляет ответ сопоставления безопасности.

2. Обмен ключами

Инициатор отправляет обмен ключами, а ответчик отправляет ответ обмена ключами.

Советы по устранению неполадок

• Фаза 1 использует UDP 500, Фаза 2 использует UDP 500 или UDP 4500 (NAT-T)

• Если MX не отвечает клиенту, проверьте:

  • IP-адреса и MAC-адреса назначения (или VIP для горячего резерва) верны

  • Переадресация портов не настроена на MX для порта 500

  • Клиент не пытается подключиться из-за того же MX

  • Общедоступный IP-адрес клиента не соответствует IP-адресам VPN-партнеров, отличных от Meraki, или другим подключенным в данный момент VPN-клиентам

  • Любые дополнительные параметры конфигурации, вручную примененные к MX, которые переопределяют настройки VPN клиента по умолчанию.

• Если обе стороны постоянно отправляют Security Association , это может означать, что трафик порта 500 не принимается клиентом

• Если одна сторона постоянно отправляет Key Exchange , это может указывать на одну из следующих проблем:

ISAKMP, этап 2

3. Идентификационный номер

Инициатор отправляет идентификатор, а ответчик отправляет ответ об идентификации

4. Хэш

Инициатор отправляет хэш, а ответчик отправляет ответ хеширования.

Советы по устранению неполадок

• Этап 2 использует UDP 4500 (NAT-T) или иногда UDP 500

• Если обе стороны постоянно отправляют пакеты фазы 2, это может указывать на одну из следующих проблем:

• Клиенту может потребоваться проверить настройки VPN.Для получения дополнительной информации о конфигурации конкретной ОС ознакомьтесь с этой статьей о конфигурации ОС клиентской VPN.

ESP

Если виден двунаправленный трафик ESP , туннель открыт.

• На этом этапе происходит аутентификация пользователя.

• Захват пакетов WAN больше не будет полезен, так как после этого все зашифровано.

• Проверить успешность аутентификации между MX и сервером аутентификации

Советы по устранению неполадок

• Для аутентификации RADIUS проверьте:

• Для проверки подлинности Active Directory проверьте:
  • Пакеты Active Directory, отправленные между MX и сервером, должны показывать успешное соединение TLS
  • Журнал событий сервера Active Directory

• Для всех типов аутентификации:

.