Tungod sa pandemya sa virus sa covid-19 ug sa kinatibuk-ang quarantine sa daghang mga nasud, ang bugtong paagi alang sa daghang mga kompanya nga magpadayon sa pagtrabaho mao ang layo nga pag-access sa mga lugar nga trabahoan pinaagi sa Internet. Adunay daghang medyo luwas nga mga pamaagi alang sa hilit nga trabaho - apan gihatagan ang sukod sa problema, ang gikinahanglan mao ang usa ka pamaagi nga yano alang sa bisan kinsa nga tiggamit nga magkonektar sa opisina sa layo ug wala magkinahanglan dugang nga mga setting, pagpatin-aw, kapoy nga konsultasyon ug taas nga panahon. mga instruksyon. Kini nga pamaagi gihigugma sa daghang mga administrador RDP (Remote Desktop Protocol). Ang direktang pagkonektar sa usa ka workstation pinaagi sa RDP labing maayo nga makasulbad sa among problema, gawas sa usa ka dako nga langaw sa ointment - ang pagpadayon sa RDP port nga bukas alang sa Internet dili luwas. Busa, sa ubos akong gisugyot ang usa ka yano apan kasaligan nga pamaagi sa pagpanalipod.
Tungod kay kanunay kong makit-an ang gagmay nga mga organisasyon diin ang mga aparato sa Mikrotik gigamit ingon usa ka koneksyon sa Internet, sa ubos ipakita nako kung giunsa kini ipatuman sa Mikrotik, apan ang pamaagi sa pagpanalipod sa Port Knocking dali nga ipatuman sa ubang mga aparato nga mas taas nga klase nga adunay parehas nga mga setting sa input router ug firewall
Sa mubo bahin sa Port Knocking. Ang sulundon nga proteksyon sa gawas sa usa ka network nga konektado sa Internet kung ang tanan nga mga kahinguhaan ug mga pantalan sirado gikan sa gawas pinaagi sa usa ka firewall. Ug bisan kung ang usa ka router nga adunay ingon nga na-configure nga firewall walaβy reaksyon sa bisan unsang paagi sa mga pakete nga gikan sa gawas, kini naminaw kanila. Busa, mahimo nimong i-configure ang router aron kung makadawat kini usa ka piho nga (code) nga han-ay sa mga packet sa network sa lainlaing mga pantalan, kini (ang router) alang sa IP diin gikan ang mga pakete, nagdumili sa pag-access sa pipila nga mga kapanguhaan (mga pantalan, protocol, etc. .).
Karon sa punto. Dili ako maghatag usa ka detalyado nga paghulagway sa pag-set up sa usa ka firewall sa Mikrotik - ang Internet puno sa kalidad nga mga gigikanan alang niini. Sa tinuud, gibabagan sa usa ka firewall ang tanan nga umaabot nga mga pakete, apan
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedGitugotan ang umaabot nga trapiko gikan sa na-establisar na (establisar, may kalabutan) nga mga koneksyon.
Karon among gi-configure ang Port Knocking sa Mikrotik:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Karon sa dugang nga detalye:
unang duha ka lagda
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesidili ang umaabot nga mga packet gikan sa mga IP address nga gi-blacklist atol sa port scanning;
Ikatulo nga lagda:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
nagdugang ip sa lista sa mga host nga naghimo sa husto nga una nga pagtuktok sa gusto nga pantalan (19000);
Ang mosunod nga upat ka mga lagda:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulespaghimo og mga pantalan sa lit-ag alang niadtong gusto nga mag-scan sa imong mga pantalan, ug kung makita ang ingon nga mga pagsulay, ilang i-blacklist ang ilang IP sulod sa 60 ka minuto, diin ang unang duha ka mga lagda dili maghatag sa maong mga host og kahigayonan sa pagtuktok sa husto nga mga pantalan;
Sunod nga lagda:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesgibutang ang ip sa lista sa gitugotan nga mga 1 minuto (igo nga magtukod usa ka koneksyon), tungod kay ang ikaduha nga husto nga pagtuktok gihimo sa gusto nga pantalan (16000);
Sunod nga sugo:
move [/ip firewall filter find comment=RemoteRules] 1nagpalihok sa atong mga lagda ngadto sa kadena sa pagproseso sa firewall, tungod kay lagmit aduna na kitay lain-laing mga pagdili nga mga lagda nga gi-configure nga makapugong sa atong mga bag-ong binuhat sa pagtrabaho. Ang labing una nga lagda sa Mikrotik nagsugod gikan sa zero, apan sa akong device nga zero giokupahan sa usa ka built-in nga lagda ug imposible nga ibalhin kini - gibalhin ko kini sa 1. Busa, gitan-aw namon ang among mga setting - diin mahimo namon kini ibalhin. ug ipakita ang gusto nga numero.
Sunod nga setting:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389ipasa ang usa ka random nga gipili nga port 33890 ngadto sa usa ka regular nga RDP port 3389 ug ang IP sa computer o terminal server nga atong gikinahanglan. Naghimo kami og ingon nga mga lagda alang sa tanan nga gikinahanglan nga internal nga mga kapanguhaan, mas maayo nga magbutang sa dili standard (ug lainlain) nga mga eksternal nga pantalan. Natural, ang IP sa mga internal nga kahinguhaan kinahanglan nga static o i-assign sa usa ka DHCP server.
Karon ang among Mikrotik gi-configure ug kinahanglan namon ang usa ka dali nga pamaagi alang sa tiggamit nga makonektar sa among internal nga RDP. Tungod kay kasagaran kami adunay mga tiggamit sa Windows, naghimo kami og usa ka yano nga bat file ug gitawag kini nga StartRDP.bat:
1.htm
1.rdpsumala niana 1.htm naglangkob sa mosunod nga code:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
Π½Π°ΠΆΠΌΠΈΡΠ΅ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΡΡΡΠ°Π½ΠΈΡΡ Π΄Π»Ρ ΠΏΠΎΠ²ΡΠΎΡΠ½ΠΎΠ³ΠΎ Π·Π°Ρ
ΠΎΠ΄Π° ΠΏΠΎ RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">dinhi adunay duha ka link sa hinanduraw nga mga hulagway nga nahimutang sa adres my_router.sn.mynetname.net - gikuha namo kini nga adres gikan sa Mikrotik DDNS system human kini ma-enable sa among Mikrotik: adto sa IP-> Cloud menu - check ang DDNS Enabled box, i-klik ang Apply ug kopyaha ang dns name sa among router. Apan kini gikinahanglan lamang kung ang eksternal nga IP sa router mao ang dinamiko o usa ka configuration nga adunay daghang mga Internet providers ang gigamit.
Ang pantalan sa una nga link: 19000 katumbas sa una nga pantalan diin kinahanglan nimo nga manuktok, sa ikaduha nga katumbas sa ikaduha. Sa tunga-tunga sa mga link adunay usa ka mubo nga panudlo nga nagpakita kung unsa ang buhaton kung kalit nga nabalda ang among koneksyon tungod sa mubo nga mga problema sa network - gi-refresh namon ang panid, ang pantalan sa RDP giablihan pag-usab alang kanamo sa 1 minuto ug ang among sesyon gipahiuli. Usab, ang teksto tali sa mga tag sa img nagmugna og usa ka micro-delay alang sa browser, nga nagpamenos sa kalagmitan sa unang packet nga ihatod sa ikaduhang pantalan (16000) - hangtod karon wala pay ingon nga mga kaso sa duha ka semana nga paggamit (30 mga tawo).
Sunod moabut ang 1.rdp file, nga mahimo natong i-configure ang usa alang sa tanan o gilain alang sa matag user (mao kana ang akong gibuhat - mas dali nga mogugol ug dugang nga 15 minuto kaysa daghang oras sa pagkonsulta sa mga wala mahibal-an)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainUsa sa makapaikag nga mga setting dinhi mao ang paggamit sa multimon:i:1 - kini naglakip sa paggamit sa daghang mga monitor - ang ubang mga tawo nanginahanglan niini, apan wala sila maghunahuna nga ibalik kini sa ilang kaugalingon.
tipo sa koneksyon:i:6 ug networkautodetect:i:0 - tungod kay ang kadaghanan sa Internet labaw sa 10 Mbit, unya i-enable ang type sa koneksyon 6 (lokal nga network 10 Mbit ug pataas) ug i-disable ang networkautodetect, tungod kay kung ang default mao ang (auto), unya bisan ang usa ka talagsaon nga gamay nga network latency awtomatik nga nagtakda sa katulin alang sa among sesyon sa mas ubos nga tulin sa dugay nga panahon, nga makahimo sa mamatikdan nga mga paglangan sa trabaho, ilabi na sa mga programa sa graphic.
disable wallpaper:i:1 - disable ang desktop picture
username:s:myuserlogin - among gipaila ang user login, tungod kay ang usa ka mahinungdanon nga bahin sa among mga tiggamit wala mahibalo sa ilang login
domain:s:mydomain - ipahibalo ang domain o ngalan sa kompyuter
Apan kung gusto namon nga pasimplehon ang tahas sa paghimo og pamaagi sa koneksyon, mahimo usab namon gamiton ang PowerShell - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Usab gamay nga bahin sa RDP nga kliyente sa Windows: Ang MS dugay na nga naabot sa pag-optimize sa protocol ug sa server niini ug mga bahin sa kliyente, pagpatuman sa daghang mapuslanon nga mga bahin - sama sa pagtrabaho sa hardware 3D, pag-optimize sa resolusyon sa screen alang sa imong monitor, multi-screen, ug uban pa. Apan siyempre, ang tanan gipatuman sa backward compatibility mode ug kung ang kliyente mao ang Windows 7 ug ang hilit nga PC mao ang Windows 10, nan ang RDP molihok gamit ang protocol version 7.0. Apan maayo na lang, mahimo nimong i-update ang mga bersyon sa RDP sa labing bag-o nga mga bersyon - pananglitan, mahimo nimong i-upgrade ang bersyon sa protocol gikan sa 7.0 (Windows 7) hangtod sa 8.1. Busa, alang sa kasayon ββββsa mga kliyente, kinahanglan nimo nga i-maximize ang mga bersyon sa bahin sa server, ug maghatag usab og mga link aron ma-update ang mga bag-ong bersyon sa mga kliyente sa RDP protocol.
Ingon usa ka sangputanan, kami adunay usa ka yano ug medyo luwas nga teknolohiya alang sa hilit nga koneksyon sa usa ka trabaho nga PC o terminal server. Apan alang sa usa ka mas luwas nga koneksyon, ang among Port Knocking nga pamaagi mahimong mas lisud nga atakehon sa daghang mga order sa kadako, pinaagi sa pagdugang sa mga pantalan aron masusi - gamit ang parehas nga lohika, mahimo nimong idugang ang 3,4,5,6 ... port ug sa kini nga kaso, ang direkta nga pagsulod sa imong network hapit imposible.
.
Source: www.habr.com