Bir çox ölkədə covid-19 virusu pandemiyası və ümumi karantin səbəbiylə bir çox şirkətin işləməyə davam etməsinin yeganə yolu internet vasitəsilə iş yerlərinə uzaqdan girişdir. Uzaqdan işləmək üçün nisbətən təhlükəsiz üsullar çoxdur - lakin problemin miqyasını nəzərə alsaq, istənilən istifadəçi üçün əlavə parametrlərə, izahatlara, yorucu məsləhətlərə və uzun təlimatlara ehtiyac olmadan uzaqdan ofisə qoşulmaq üçün sadə üsul lazımdır. Bu üsul bir çox idarəçi RDP (Uzaq Masaüstü Protokolu) tərəfindən sevilir. RDP vasitəsilə birbaşa iş yerinə qoşulmaq, məlhəmdəki bir böyük milçək istisna olmaqla, problemimizi ideal şəkildə həll edir - RDP portunu İnternet üçün açıq saxlamaq çox təhlükəlidir. Buna görə də, aşağıda sadə, lakin etibarlı qorunma üsulunu təklif edirəm.
Mikrotik cihazlarının İnternetə çıxış kimi istifadə edildiyi kiçik təşkilatlara tez-tez rast gəldiyim üçün aşağıda bunun Mikrotik-də necə həyata keçiriləcəyi göstəriləcək, lakin Port Knocking qorunması metodu oxşar giriş yönləndiricisi parametrləri və firewall ilə digər yüksək səviyyəli cihazlarda asanlıqla həyata keçirilir. .
Port Knocking haqqında qısaca. İnternetə qoşulmuş şəbəkənin ideal xarici müdafiəsi bütün resursların və portların kənardan firewall tərəfindən bağlanmasıdır. Belə konfiqurasiya edilmiş bir firewall olan bir marşrutlaşdırıcı kənardan gələn paketlərə heç bir şəkildə reaksiya verməsə də, onları dinləyir. Buna görə də, marşrutlaşdırıcını konfiqurasiya edə bilərsiniz ki, müxtəlif portlarda şəbəkə paketlərinin müəyyən (kod) ardıcıllığı qəbul edildikdə, paketlərin gəldiyi IP üçün (marşrutlaşdırıcı) müəyyən resurslara (portlar, protokollar, və s.).
İndi biznesə. Mikrotik-də firewall parametrlərinin ətraflı təsvirini etməyəcəyəm - İnternet bunun üçün yüksək keyfiyyətli mənbələrlə doludur. İdeal olaraq, firewall bütün gələn paketləri bloklayır, lakin
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedQurulmuş, əlaqəli bağlantılardan gələn trafikə icazə verir.
İndi Mikrotik-də Port Knocking qurduq:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389İndi daha çox:
ilk iki qayda
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesport taraması zamanı qara siyahıya salınmış IP ünvanlarından daxil olan paketləri qadağan etmək;
Üçüncü qayda:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
düzgün portu düzgün ilk dəfə döyən hostların siyahısına ip əlavə edir (19000);
Növbəti dörd qayda bunlardır:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesportlarınızı skan etmək istəyənlər üçün trap portları yaradın və bu cür cəhdlər aşkar edilərsə, onların ipini 60 dəqiqə ərzində qara siyahıya salın, bu müddət ərzində ilk iki qayda belə hostlara düzgün portları döymək imkanı verməyəcək;
Növbəti qayda:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesip-i 1 dəqiqə ərzində icazə verilən siyahıya qoyur (bağlantı qurmaq üçün kifayətdir), çünki istədiyiniz portda ikinci düzgün döymə edildi (16000);
Növbəti əmr:
move [/ip firewall filter find comment=RemoteRules] 1qaydalarımızı firewall emal zəncirində yuxarı qaldırır, çünki çox güman ki, yeni yaradılanlarımızın işləməsinə mane olacaq konfiqurasiya edilmiş fərqli inkar qaydalarına sahib olacağıq. Mikrotik-də ilk qayda sıfırdan başlayır, lakin mənim cihazımda sıfır daxili qayda ilə məşğul idi və onu köçürmək mümkün deyildi - mən onu 1-ə köçürdüm. Buna görə də parametrlərimizə baxırıq - onu hara köçürə bilərsiniz və istədiyiniz nömrəni göstərin.
Növbəti parametr:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389özbaşına seçilmiş 33890 portunu adi RDP portu 3389-a və bizə lazım olan kompüterin və ya terminal serverinin ip-yə yönləndirir. Biz bütün lazımi daxili resurslar üçün belə qaydaları yaradırıq, tercihen qeyri-standart (və müxtəlif) xarici portları təyin edirik. Təbii ki, daxili resursların IP-si ya statik, ya da DHCP serverində sabit olmalıdır.
İndi Mikrotikimiz konfiqurasiya edilib və istifadəçinin daxili RDP-yə qoşulması üçün sadə prosedura ehtiyacımız var. Bizdə əsasən Windows istifadəçiləri olduğundan sadə yarasa faylı yaradırıq və ona StartRDP.bat adını veririk:
1.htm
1.rdpmüvafiq olaraq 1.htm aşağıdakı kodu ehtiva edir:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">my_router.sn.mynetname.net saytında yerləşən xəyali şəkillərə iki keçid ehtiva edir - bu ünvanı Mikrotikimizdə aktivləşdirdikdən sonra Mikrotik DDNS sistemindən alırıq: IP-> Bulud menyusuna keçin - DDNS Aktiv onay qutusunu yoxlayın, Tətbiq et düyməsini basın və marşrutlaşdırıcımızın dns adını kopyalayın. Ancaq bu, yalnız marşrutlaşdırıcının xarici ipi dinamik olduqda və ya bir neçə İnternet provayderi ilə konfiqurasiya istifadə edildikdə lazımdır.
Birinci keçiddəki port: 19000, döymək lazım olan ilk porta, ikincidə, ikinciyə uyğundur. Bağlantılar arasında qısa bir təlimat var ki, əlaqəmiz birdən-birə qısa şəbəkə problemləri səbəbindən kəsilərsə nə etməli - səhifəni yeniləyirik, RDP portu bizim üçün 1 dəqiqə ərzində yenidən açılır və sessiyamız bərpa olunur. Həmçinin, img teqləri arasındakı mətn brauzer üçün mikro gecikmə əmələ gətirir ki, bu da birinci paketin ikinci porta (16000) çatdırılma ehtimalını azaldır – indiyədək iki həftəlik istifadədə belə hallar olmayıb (30 Xalq).
Sonra 1.rdp faylı gəlir, biz onu hamı üçün və ya hər bir istifadəçi üçün ayrıca konfiqurasiya edə bilərik (mən bunu etdim - bunu başa düşə bilməyənlərlə məsləhətləşmək üçün bir neçə saatdansa əlavə 15 dəqiqə sərf etmək daha asandır)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainBuradakı maraqlı parametrlərdən biri multimondan istifadədir: i: 1 - bura çoxsaylı monitorların istifadəsi daxildir - bəzilərinin buna ehtiyacı var, lakin onlar özləri onu yandırmağı düşünməyəcəklər.
əlaqə növü: i: 6 və networkautodetect: i: 0 - İnternetin əksəriyyəti 10 Mbit / s-dən yuxarı olduğundan, 6 əlaqə növünü yandırın (yerli şəbəkə 10 Mbit / s və yuxarı) və şəbəkə avtomatik aşkarlamasını söndürün, çünki default olaraq (avtomatik) , sonra hətta nadir kiçik şəbəkə gecikməsi avtomatik olaraq seansımızı uzun müddət aşağı sürətə təyin edir ki, bu da işdə, xüsusən də qrafik proqramlarda nəzərəçarpacaq gecikmələr yarada bilər.
divar kağızı deaktiv edin: i: 1 - iş masası şəklini söndürün
username:s:myuserlogin - biz istifadəçi girişini müəyyənləşdiririk, çünki istifadəçilərimizin əhəmiyyətli bir hissəsi öz girişini bilmir
domain:s:mydomain - domen və ya kompüter adını göstərin
Ancaq əlaqə proseduru yaratmaq tapşırığımızı sadələşdirmək istəyiriksə, o zaman PowerShell - StartRDP.ps1-dən də istifadə edə bilərik.
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Windows-da RDP müştərisi haqqında da bir az: MS protokolu və onun server və müştəri hissələrini optimallaşdırmaqda uzun bir yol keçmişdir, bir çox faydalı xüsusiyyətləri həyata keçirmişdir - məsələn, 3D aparatları ilə işləmək, monitorunuz üçün ekran ayırdetmə qabiliyyətini optimallaşdırmaq, çox ekran, və s. Ancaq əlbəttə ki, hər şey geriyə uyğunluq rejimində həyata keçirilir və müştəri Windows 7 və uzaq kompüter Windows 10-dursa, RDP protokol versiyası 7.0 istifadə edərək işləyəcək. Amma fayda ondan ibarətdir ki, siz RDP versiyalarını daha son versiyalara yeniləyə bilərsiniz - məsələn, protokol versiyasını 7.0-dan (Windows 7) 8.1-ə yüksəldə bilərsiniz. Buna görə də, müştərilərin rahatlığı üçün server hissəsinin versiyalarını mümkün qədər artırmaq, həmçinin RDP protokolu müştərilərinin yeni versiyalarına yüksəltmək üçün keçidləri buraxmaq lazımdır.
Nəticə olaraq, işləyən kompüterə və ya terminal serverinə uzaqdan qoşulmaq üçün sadə və nisbətən təhlükəsiz texnologiyamız var. Ancaq daha etibarlı bir əlaqə üçün, Port Knocking metodumuzu yoxlamaq üçün portlar əlavə etməklə bir neçə miqyasda hücum etmək çətinləşdirilə bilər - eyni məntiqə uyğun olaraq 3,4,5,6 ... port əlavə edə bilərsiniz. , və bu halda şəbəkənizə birbaşa müdaxilə demək olar ki, mümkün olmayacaq.
.
Mənbə: www.habr.com