iT邦幫忙

1

防火牆與VPN的關係

請教版上各位大大

將一台Server配置在防火牆之後,該Server需要在認證畫面中輸入帳密才可以登入

問題:

1.在防火牆設定裡,需要甚麼樣的rule可以讓外來的連線看到需要認證畫面?
(e.g., 開放特定port?)
2.當輸入錯誤密碼次數超過預設的數目,Server如何告訴防火牆這個資訊?
防火牆根據這個資訊,踢掉這個連線,詳細的內部運作是如何執行的?
3.使用者透過VPN連線,卻在認證畫面一直輸入錯誤的帳密,防火牆要如何設定才可以把這個連線踢掉?

先謝謝各位大大的幫忙了啊!!

2 個回答

16
raytracy
iT邦大神 1 級 ‧ 2010-03-26 00:25:57
最佳解答

您的問題很難回答, 因為有太多因素沒有說明:

  1. 您所謂的「認證畫面」是由誰送出來的? Server 是甚麼作業平台? 我至少看過以下幾種不同的認證畫面: IBM AIX/HP-UX/Sun Solaris/W2K/W2K3/W2K8/RedHat....以上的認證畫面都不一樣, 使用的協定也各不相同, 如果您沒說清楚, 我可能會回答得雞同鴨講....

  2. 您的防火牆廠牌型號? 我至少用過以下幾種廠牌: Cisco/FortiNet/Juniper/NetScreen/Cyberoam/CheckPoint/Zyxel....各廠牌的功能都不相同, 跟上述各種 Server 搭配的方法也不同, 有些可以達到您要的功能, 有些不能, 有些要搭配其他的軟硬體才能達到, 如果您沒說清楚, 我可能會回答得雞同鴨講....

  3. 如果您的目的, 只是單純的想要防止外人用 Try-Error 的方式來試 Win Server 密碼的話, 那很簡單就可以解決: 把認證畫面換成智慧卡, 幫每個 User 買一台讀卡機, 然後可以選擇用晶片卡或是悠遊卡來登入.

這樣一來, 用戶端的登入畫面根本不會出現輸入密碼的欄位, 想登入只能刷卡, 把鍵盤敲爛了也無法登入....看他有幾張卡可以來刷....

r大你好:

1.認證畫面是由W2k這台Server所提供的,外來的remote access需要輸入帳密才可以進入操作畫面。
2.防火牆是Cisco PIX 500 series。此防火牆建置在實驗室的一個local network,可透過 remote access來獲取此local network的資源!
3.使用者已經建立VPN連線,卻在最後的logon畫面一直輸入錯誤的帳密。在這裡我想請問大大的是,若企業成本只夠建置VPN,無法提供智慧卡登入,當有一直嘗試錯誤帳密的情況發生時,防火牆該如何反應?

raytracy iT邦大神 1 級 ‧ 2010-03-26 02:38:19 檢舉

我先假設您描述的架構長得像這樣:

外部用戶 <--> PIX 500 <--> W2K Server

不幸的是, W2K 和 PIX 500 都太老舊(10年前的技術), 缺乏現代資安設備的「區域聯防」能力, 所以您無法光靠簡單的設定, 就達到上面所描述的功能.

如果您有能力自行撰寫 W2K 程式的話, 可以利用這樣的邏輯:

  1. 監看 W2K 上的事件, 過濾出 Event ID 675, Failure Code 24. (這是假設你使用Windows網域登入, 且以 Kerberos 協定協議認證)
  2. 擷取出事件內所記錄的 Client Address, 這就是入侵者的 IP
  3. 啟動 Telnet 協定, 以 su 身分登入 PIX 500.
  4. 傳輸 config 指令給 PIX, 透過 access deny 指令將該 IP 阻絕
  5. 經過一段時間之後, 取消 acccess deny 設定, 以恢復該 IP 的正常通訊
  6. 重複以上過程.
10
twnem
iT邦好手 1 級 ‧ 2010-03-25 23:38:04

Google會是你的最愛

我要發表回答

立即登入回答