web-dev-qa-db-ja.com

パブリックWiFiネットワークの悪用を防ぐにはどうすればよいですか?

私たちの顧客の1人が100人未満のユーザーでホリデーパークを運営しています。

現在、トレントなどを防止する mikrotik が設定されていますが、スパムメールの送信やオンラインアカウントのブルートフォース攻撃を試みた者がいるため、その行は遮断されています。

悪意のある活動を防ぐために何を導入できるでしょうか? DYN DNSなどのサービスを使用できますか? ISPは、さらなる乱用を防ぐための措置を講じたことを示すまで、オンラインへの復帰を許可しません。

ありがとう。

4
Matt Langstaff

共有インターネット回線の悪用を防ぐ簡単な解決策はありません。特に、悪意のないユーザーが回線を引き続き利用できるようにしたい場合はそうです。

つまり、Wifiを使用している多くの人は、デスクトップのメールクライアントからメールを送信したり、VPN接続、メッセンジャーを使用したり、Skypeなどのツールを使用して電話をかけたりすることを望んでいます。

ポートを正規のhttp/httpsポートのみに制限すると、GMail/Facebook /に対するブルートフォース攻撃を防ぐことはできませんが、それに名前を付けますが、Wifiホットスポットを次の多くのユーザーにとって役に立たないようにします。インターネットはもはや長い間、World Wide Webだけではありません。

公共のホットスポットで行われる典型的な対策は、単位時間あたりに許可されるデータ量の制限です。これは通常、クライアントが数秒で100 MBを送信する場合、ビデオチャットであ​​れば完全に問題ないが、100を許可したくないので、再び重要なレート制限アルゴリズムを実装することを意味します。 MBのスパムが1分で送信されます。

これらの問題に継続的に対処する専門知識がなく、その知識を蓄積したくないと考えている場合、非常に賢明な決定の1つは、これを生計を立てている会社に委任することです。 。

ここには名前を付けたくありませんが、VPNコネクトを通じて顧客のゲストからのすべてのトラフィックを送信するスキームを運用する専門会社が世界中にあり、それらは悪意のあるトラフィックの一種であり、委任しますtheirを使用したインターネットへの正当なトラフィックは、ISPのIPアドレスではなく、パブリックにルーティングされたIPアドレスです。

ISPはVPNトラフィックのみを認識し、そのリンクを介して送信されたものに対して責任を負うことはありませんnlessトラフィックの純粋な量が問題になります。しかし、通常、それはあなたが協力するその会社があなたに提供するルーターファームウェアで軽減することができます。

2
TorstenS

たくさんのオプションがあります。

最高のもののほとんどは支払われますが、443と80を除くすべてのポートをブロックすることから始めます。これにより、通常のWebトラフィックだけに制限されます。

OpenDNSを使用して、既知のすべての問題を防ぐポリシーを追加します。

次に、もう少し複雑にして、ファイアウォール(レイヤー7対応/ NGFWが必要)のブロックファイル、SquidやIPSなどのWebプロキシを調べます。 TLSに問題が発生し、プライバシーの懸念がメリットを上回ります。

Sophos UTMやCisco firepowerのようなものなら、これを1,000ポンドで実現できます。

DNSとポートを使用して、ある程度の保護と帯域幅の制限を提供します。そうしないと、機密情報をログに記録して大きな問題に巻き込まれる可能性があるため、複雑になります。また、同じ理由で、複雑すぎるものはISPによって検出されない可能性があります。

0
user2505690