不正ユーザーからWindows VPNを保護する

不正ユーザーからWindows VPNを保護する

外出中に自宅のネットワークにリモート接続するために使用する VPN 接続があります。Hamachi のようなゼロ構成ソリューションを使用するつもりですが、モバイル デバイスからアクセスする必要があります。そのため、Windows Home Server を VPN サーバーとして機能させ、着信接続を受け入れます。ユーザー名とパスワードはどちらも強力です。ただし、ネットワークに対するブルート フォース攻撃が心配です。ネットワークへの不正アクセス試行からネットワークを保護するために、他に何かすべきことはありますか?

Linux の FAIL2BAN についてはよく知っていますが、Windows に同様のものが存在するかどうかはわかりませんでした。

ここに画像の説明を入力してください

答え1

ホーム ネットワークをどの程度保護したいか、または保護する必要があるかについては説明されていません。そこで、考慮すべきいくつかの大まかな事項について説明します。

まず、これは絶対に必要なことですが、MS-CHAPv2(または他のバージョン)を使用していないことを確認してください。今年の夏から、MS-CHAPv2は確実に、一貫して壊れる100% の確率で。

次に、半径デフォルトの Windows ユーザー ID/パスワード スキームを使用する代わりに、追加の認証およびログ記録メカニズムを使用します。Microsoft RADIUS ガイドここフリーRADIUS良い実装です。

3 番目に、トークンのようなものを使用した 2 要素認証を検討します。ハードウェア トークンとソフトウェア トークンの両方があります。ソフトウェア トークンの例を 2 つ示します。アイフォンそしてPCクライアント。ハードウェアトークンベンダーの例ここ

次に、クライアントが接続したら、検疫管理権限のないユーザーがリソースに素早くアクセスするのを遅らせたり遅らせたりします。権限のないユーザーがアクセス制御を破った場合、検疫制御によってそのユーザーを拒否または隔離し、悪意のある行為を防止できます。

最後に、Microsoft の推奨事項をいくつか紹介します。VPNのベストプラクティスはこちら. セキュリティに関する推奨事項ここ

関連情報