UNDEV Verbindungsversuche stören Roadwarrior Verbindungen!
Moderator: Securepoint
UNDEV Verbindungsversuche stören Roadwarrior Verbindungen!
Hallo zusammen,
seit kurzen haben wir sehr viele UNDEV (SSL-VPN) Verbindungsversuche aus div. Ländern.
Diese stören mittlerweile unsere Homeoffece Verbindungen so stark das diese Zeitweise nicht zu nutzen sind!
Gibt es eine Möglichkeit hier gegenzusteuern?
Hier mal ein kurzer Einblick in das LOG:
openvpn-Roadarrior 5793 - - MULTI: multi_create_instance called
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Re-using SSL/TLS context
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Control Channel MTU parms [ L:1621 D:1212 EF:38 EB:0 ET:0 EL:3 ]
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 MULTI: new incoming connection would exceed maximum number of clients (8)
P.S: Es ist noch die Version 11.8.16.1 im Einsatz..
Gruß aus dem Münsterland...
.
seit kurzen haben wir sehr viele UNDEV (SSL-VPN) Verbindungsversuche aus div. Ländern.
Diese stören mittlerweile unsere Homeoffece Verbindungen so stark das diese Zeitweise nicht zu nutzen sind!
Gibt es eine Möglichkeit hier gegenzusteuern?
Hier mal ein kurzer Einblick in das LOG:
openvpn-Roadarrior 5793 - - MULTI: multi_create_instance called
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Re-using SSL/TLS context
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Control Channel MTU parms [ L:1621 D:1212 EF:38 EB:0 ET:0 EL:3 ]
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 MULTI: new incoming connection would exceed maximum number of clients (8)
P.S: Es ist noch die Version 11.8.16.1 im Einsatz..
Gruß aus dem Münsterland...
.
Hallo und guten Abend,
bei unserer RC200 mit der Version 11.8.16.1 musste ich heute morgen selbiges feststellen, nachdem mehrere Kollegen aus dem Homeoffice sich nicht mehr als Roadwarrior verbinden konnten, da die zahlreichen "undef" Verbindungsversuche die maximale Anzahl von Clients erreicht hatte. Sowas habe ich bis dato noch nie feststellen können.
Die Log-Einträge ebenfalls identisch.
In unserer Dashboard-Übersicht sieht das zusätzlich dann noch so aus:
Screenshot 1
Screenshot 2
Nur wie kann man so etwas unterbinden?!
bei unserer RC200 mit der Version 11.8.16.1 musste ich heute morgen selbiges feststellen, nachdem mehrere Kollegen aus dem Homeoffice sich nicht mehr als Roadwarrior verbinden konnten, da die zahlreichen "undef" Verbindungsversuche die maximale Anzahl von Clients erreicht hatte. Sowas habe ich bis dato noch nie feststellen können.
Die Log-Einträge ebenfalls identisch.
In unserer Dashboard-Übersicht sieht das zusätzlich dann noch so aus:
Screenshot 1
Screenshot 2
Nur wie kann man so etwas unterbinden?!
Hallo,
eine sehr umständliche Möglichkeit weiter arbeiten zu können ist das Einrichten einer neuen/weiteren SSL-VPN Roadwarrior Verbindung.
Diese scheint von den UNDEV Attacken unbeeindruckt weiter zu funktionieren.
Admin Kollegen berichten von ähnlichen "Angriffsversuchen" die offensichtlich bei einer Sophos Firewall keine negativen Einflüsse auf die Produktivität haben.
Warten wir mal ab wann hier eine ordentliche Lösung gefunden wird.
Gruß aus dem Münsterland
eine sehr umständliche Möglichkeit weiter arbeiten zu können ist das Einrichten einer neuen/weiteren SSL-VPN Roadwarrior Verbindung.
Diese scheint von den UNDEV Attacken unbeeindruckt weiter zu funktionieren.
Admin Kollegen berichten von ähnlichen "Angriffsversuchen" die offensichtlich bei einer Sophos Firewall keine negativen Einflüsse auf die Produktivität haben.
Warten wir mal ab wann hier eine ordentliche Lösung gefunden wird.
Gruß aus dem Münsterland
Moin,
evtl. Hilft ein Update auf die v12 da dort das IDS / IPS den Threat Intelligence Filter verwenden kann.
Gruß
evtl. Hilft ein Update auf die v12 da dort das IDS / IPS den Threat Intelligence Filter verwenden kann.
Gruß
Nope, wir haben hier schon länger v12 laufen und die Attacken gehen einfach weiter. Die Firewall und der IDS/IPS Filter interessiert das wenig. Echt traurig.kennethj hat geschrieben: Moin,
evtl. Hilft ein Update auf die v12 da dort das IDS / IPS den Threat Intelligence Filter verwenden kann.
Gruß
Moin,
das ist natürlich ärgerlich.
Wenn es immer die gleichen IP Adressen sind, könnte man diese über den Portfilter blockieren.
Gruß
das ist natürlich ärgerlich.
Wenn es immer die gleichen IP Adressen sind, könnte man diese über den Portfilter blockieren.
Gruß
Hallo,
bei uns sind es bisher tatsächlich immer dieselben und echt nur 5-6 verschiedene öffentliche IP-Adressen. Dann blockiere ich sie erstmal auf diesem Wege, denn heute morgen war schon wieder genau der gleiche Stress mit den Homeoffice Kollegen wie gestern morgen. Und das brauche ich echt überhaupt nicht
Gruß und trotzdem danke erstmal.
P.S.
Wenn jemand doch noch eine dauerhafte Lösung hat bzw. findet, dann würde ich mich über einen Post hier sehr freuen.
Vielen Dank im Voraus.
bei uns sind es bisher tatsächlich immer dieselben und echt nur 5-6 verschiedene öffentliche IP-Adressen. Dann blockiere ich sie erstmal auf diesem Wege, denn heute morgen war schon wieder genau der gleiche Stress mit den Homeoffice Kollegen wie gestern morgen. Und das brauche ich echt überhaupt nicht
Gruß und trotzdem danke erstmal.
P.S.
Wenn jemand doch noch eine dauerhafte Lösung hat bzw. findet, dann würde ich mich über einen Post hier sehr freuen.
Vielen Dank im Voraus.
Ist denn im IDS/IPS unter CYBER DEFENSE CLOUD auch "Verbindung protokollieren und blockieren" eingestellt? Im Auslieferungszustand ist nur "Verbindung protokollieren" eingeschaltet.
Das mache ich täglich teilweise 5-6 Mal. Im Moment kommen die IPs hauptsächlich aus Russland und Saudi Arabien. IDS/IPS hat auch gar keine Einstellungsmöglichkeit für die VPN Verbindung. Ich weiß gar nicht, worauf sich Ihre Aussage hier bezieht.kennethj hat geschrieben: Moin,
das ist natürlich ärgerlich.
Wenn es immer die gleichen IP Adressen sind, könnte man diese über den Portfilter blockieren.
Gruß
@Franz
Ja, wir nutzen die blockieren Funktion quasi ab Tag eins. Das Problem ist eher, dass diese Funktion gar nicht bei VPN einspringt, weil auch nicht aktivierbar. Es gibt diese Funktion schlichtweg nicht für VPN.
Moin,
Der Thread erstellt im Hintergrund Portfilterregeln welche die Verbindungen blockieren, diese greifen vor dem VPN Dienst.
Würde der Thread die IPs erkennen, kommen diese auch nicht mehr an den OpenVPN Server. Man muss das nicht explizit für das VPN aktivieren. Weil ist Global.
Gruß
[font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]Ja, wir nutzen die blockieren Funktion quasi ab Tag eins. Das Problem ist eher, dass diese Funktion gar nicht bei VPN einspringt, weil auch nicht aktivierbar. Es gibt diese Funktion schlichtweg nicht für VPN.[/font]
Der Thread erstellt im Hintergrund Portfilterregeln welche die Verbindungen blockieren, diese greifen vor dem VPN Dienst.
Würde der Thread die IPs erkennen, kommen diese auch nicht mehr an den OpenVPN Server. Man muss das nicht explizit für das VPN aktivieren. Weil ist Global.
Gruß
Alles klar, danke für die Klarstellung.kennethj hat geschrieben: Moin,
[font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]Ja, wir nutzen die blockieren Funktion quasi ab Tag eins. Das Problem ist eher, dass diese Funktion gar nicht bei VPN einspringt, weil auch nicht aktivierbar. Es gibt diese Funktion schlichtweg nicht für VPN.[/font]
Der Thread erstellt im Hintergrund Portfilterregeln welche die Verbindungen blockieren, diese greifen vor dem VPN Dienst.
Würde der Thread die IPs erkennen, kommen diese auch nicht mehr an den OpenVPN Server. Man muss das nicht explizit für das VPN aktivieren. Weil ist Global.
Gruß
Also ist man wieder auf die nicht so intelligente Thread intelligence angewiesen, die ja lediglich eine manuell geführte Blacklist ist. So ist es zumindest in einem anderen Thread hier durchgesickert. Scheint man wohl damit leben zu müssen.
Hallo nochmal,
hab jetzt alle Verbindungen doppelt angelegt.
Sobald die Benutzer mit der ersten SSL-VPN nicht mehr arbeiten können wechseln sie zur 2. (Roadwarrior2) VPN.
Siehe: https://abload.de/img/roadwarrior-001wfjzt.png
Da wir selber Software entwickeln war das für unsere Mitarbeiter kein Problem hier eine zweite Verbindung hinzuzufügen.
Das ist zwar nicht schön, aber bis wir eine saubere Lösung/ neue Firewall haben zumindest eine Option.
Gruß aus dem Münsterland
hab jetzt alle Verbindungen doppelt angelegt.
Sobald die Benutzer mit der ersten SSL-VPN nicht mehr arbeiten können wechseln sie zur 2. (Roadwarrior2) VPN.
Siehe: https://abload.de/img/roadwarrior-001wfjzt.png
Da wir selber Software entwickeln war das für unsere Mitarbeiter kein Problem hier eine zweite Verbindung hinzuzufügen.
Das ist zwar nicht schön, aber bis wir eine saubere Lösung/ neue Firewall haben zumindest eine Option.
Gruß aus dem Münsterland
Gruß aus dem Münsterland
Moin,
es werden zwei Regeln benötigt: ( in genau der Reihenfolge! )
1. Quelle: UNDEV-IPs Ziel: external-interface Dienst: openvpn Aktion: Reject
2. Quelle: internet Ziel: external-interface Dienst: openvpn Aktion: Accept
Anschließend dann die OpenVPN Regeln in den Impliziten Regeln deaktivieren!
Diese greifen nämlich VOR dem Portfilter.
Gruß
es werden zwei Regeln benötigt: ( in genau der Reihenfolge! )
1. Quelle: UNDEV-IPs Ziel: external-interface Dienst: openvpn Aktion: Reject
2. Quelle: internet Ziel: external-interface Dienst: openvpn Aktion: Accept
Anschließend dann die OpenVPN Regeln in den Impliziten Regeln deaktivieren!
Diese greifen nämlich VOR dem Portfilter.
Gruß