Tentativi di accesso su VPN

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
morpheus257
Cisco fan
Messaggi: 38
Iscritto il: mar 16 lug , 2013 10:00 am
Località: Frosinone - Viareggio -> Spostato a Milano :-)

Buongiorno a tutti,

negli ultimi giorni sto riscontrando delle cose strane nei log del mio firewall, vedo che un IP pubblico tenta di instaurare un collegamento in VPN. La mia rete è formata da 3 uffici connessi in full-mesh, la password del firewall è strong, ma nel caso in cui riuscissero ad accedere sarebbe un casino......

Vi posto il log opportunamente mascherato:

2017-05-16 11:11:47
info
IKE
ISAKMP SA [] is disconnected
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXXX
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
Send:[NOTIFY:NO_PROPOSAL_CHOSEN]
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
[SA] : No proposal chosen
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
[ID] : Tunnel [Nome_Mia_VPN] Local IP mismatch
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXX [count=3]
mio_ip:500
ip_esterno:606
IKE_LOG

2017-05-16 11:11:47
info
IKE
Recv:[SA][KE][NONCE][ID][VID][VID][VID][VID][VID][VID][VID][VID][VID]
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0xXXXXXXXXXXXXXXXX
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
Recv Aggressive Mode request from [ip_esterno]
ip_esterno:606
mio_ip:500
IKE_LOG

2017-05-16 11:11:47
info
IKE
The cookie pair is : 0xXXXXXXXXXXXXXXXX / 0x0000000000000000
ip_esterno:606
mio_ip:500
IKE_LOG


Questo il log, l'ho preso in ordine di esecuzione, va letto dal basso verso l'alto :|
Facendo un Whois Domain ho trovato che l'IP appartiene ad un'azienda italiana (nella mia stessa città).

Come devo comportarmi? Da quanto vedo l'IP della sua LAN non fa il match con quello configurato nelle mie impostazioni e quindi la connessione cade, secondo voi come devo comportarmi in questa situazione?

Procedo con il mandare una mail al loro sito "[email protected]" oppure provo a mettere in blacklist il loro IP e me ne frego?

Grazie!!

Buoan giornata :wink:
CCNA 200-120 Routing & Switching
CCNA 210-260 Security
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Io proverei a sentirli. Comunque se i tuoi uffici hanno ip pubblico statico farei una regola che possono provare ad accedere solo i tuoi ip.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
morpheus257
Cisco fan
Messaggi: 38
Iscritto il: mar 16 lug , 2013 10:00 am
Località: Frosinone - Viareggio -> Spostato a Milano :-)

Ciao Paolo,

si gli IP pubblici sono statici.

Consigli bene di fare una regola per il blocco, ma così bloccherei anche i colleghi che tentano di accedere in VPN quando lavorano da remoto, hanno tutti IP dinamici.

Per fare ciò dovrebbero munirsi di un servizio come dyndns ed abiliterei solo il dominio dal quale effettuano la chiamata (credo si possa fare).

Per quanto riguarda sentire la società che tenta di instaurare una connessione VPN con me, credi sia meglio mettermi al telefono e sperare di parlare con un loro tecnico, oppure è meglio mandare una mail ad abuse@...... come riportato nel whois?


Thanks ;)

Filippo.
CCNA 200-120 Routing & Switching
CCNA 210-260 Security
Rispondi