¡Me están atacando! No se asuste. Tome un café y relájese.

By David Hornstein

En mi último post configuré el servidor OpenVPN en un firewall Allied Telesis AR2050V.

Habilitar OpenVPN significa que también debo tener una regla de firewall para permitir el tráfico de OpenVPN a través del firewall. Revisé los análisis en mi firewall y he aquí y he aquí éxitos encontrados contra mi regla de firewall OpenVPN. No solo un éxito, sino miles. Cada golpe representa un intento de abrir una conexión VPN a mi servidor.

¡Wow! Mi registro de firewall indicó que estaba siendo atacado desde todo el mundo, algunos por personas pero la mayoría de los bots que intentaban acceder a mi servidor OpenVPN. Personalmente, no me preocupaba demasiado que entraran personas no autorizadas, pero estaba confundido y también un poco interesado en entender por qué tantos bots persistían en sus intentos de entrar en mi firewall.

Así que mi primer paso fue tomar una lista de atacantes y crear una regla de firewall separada que solo monitorea estos intentos de molestia. Los llamé molestias, ya que no entraron en mi red privada, sino que simplemente picotearon las defensas del firewall.

Tener un firewall profesional le permite profundizar y supervisar el uso de los análisis integrados para averiguar qué está golpeando su interfaz WAN. Esto hizo que fuera fácil recopilar las direcciones IP de origen de donde provenían estos intentos de acceso. De los datos del firewall recogidos durante un período de cuatro días, observé 324,175 intentos de acceder a mi red!

A continuación se muestra una captura parcial de la salida de la regla de firewall. Solo he incluido los contadores para los accesos de OpenVPN denegados y permitidos. Cada golpe es un intento de acceder a mi servidor OpenVPN.

Command line output example of the show firewall rule

Durante un período de 18 minutos descubrí que estos éxitos estaban alcanzando su punto máximo en torno a 180 intentos por minuto de forzar brutalmente una sesión exitosa en el túnel OpenVPN.

OpenVPN hits per minute graph

Los bots que están tratando de hackear mi red parecen funcionar con fuerza bruta e intentos de alta frecuencia contra el puerto 1194 (el puerto utilizado a menudo por OpenVPN). Los bots utilizan principalmente simple linux default user id o no user id en absoluto.

Si solo dependiera de una simple identificación de usuario y contraseña para protección, entonces estaría preocupado ahora mismo. Pero mi firewall AR2050V utiliza un certificado x509 con más de 1024 bits de cifrado, por lo que las posibilidades de entrar son peores que ganar la lotería Powerball de Estados Unidos!

Hasta que alguien entre con éxito, disfrutaré de la tranquilidad que me brinda mi firewall AR2050V, ¡y del sueño profundo que tengo cada noche!